Исследование Cyfirma показало, что вредоносное ПО скрывается под названием «бесплатный VPN для ПК». Преступники распространяют ВПО через GitHub. Однако в отчёте сказано, что вредоносы маскируются не только под бесплатные VPN, но и под модификации Minecraft. Вредонос распространялся под названием Minecraft Skin Changer. Целью зловреда выступает установка дроппера для Lumma Stealer.
Lumma Stealer — это вредоносная программа, предназначенная для кражи данных с заражённого компьютера. Она извлекает логины, пароли, куки, данные автозаполнения, информацию о системе и приложениях, включая криптокошельки и мессенджеры. После сбора данные передаются злоумышленникам. Lumma Stealer распространяется через фишинг, вредоносные архивы и сторонние загрузчики. Известна с 2022 года, продаётся на подпольных форумах и используется по модели Malware-as-a-Service (вредоносное ПО как услуга).
После запуска вредоносная программа выполняет цепочку действий. ВПО использует обфускацию, загружает DLL-файлы, внедряется в память и применяет системные процессы Windows. Злоупотребление MSBuild.exe и aspnet_regiis.exe помогает скрыть активность. Сам процесс начинается с файла Launch.exe. Процесс декодирует строку в формате Base64, извлекает зашифрованный код и создаёт DLL-файл msvcp110.dll в папке AppData. Библиотека скрыта. Она запускается во время работы программы и вызывает функцию GetGameData().
Архивы распространяются через репозиторий github[.]com/SAMAIOEC. Сами архивы содержат инструкции и защищены паролем, что создаёт видимость легального ПО. Полезная нагрузка зашифрована. Текст внутри оформлен на французском языке и дополнительно закодирован в Base64. Все перечисленное усложняет анализ.
Также это ВПО защищено от анализа. Оно проверяет наличие отладчика через функцию IsDebuggerPresent() и использует обфускацию потока управления. В атаке применяются техники MITRE ATT&CK. Среди них — загрузка DLL, выполнение в памяти и обход песочницы.
Исследователи кибербеза отметили, чтобы избежать заражения, не следует устанавливать программы из непроверенных источников и запускать исполняемые файлы из архивов с паролем, особенно из папок с названием AppData. Такие папки часто используются для маскировки вредоносных компонентов. DLL-файлы, найденные в нестандартных местах, требуют проверки. Необходимо следить за активностью процессов, таких как MSBuild.exe. Их аномальное поведение может указывать на заражение.
