Fuente: thehackernews.com – Autor: . Se está engañando a los usuarios que buscan trucos para juegos para que descarguen un malware basado en Lua que es capaz de establecer persistencia en sistemas infectados y entregar cargas útiles adicionales. «Estos ataques aprovechan la popularidad de los complementos del motor de juegos Lua dentro de la comunidad de estudiantes y jugadores», dijo el investigador de Morphisec Shmuel Uzan en un nuevo informe publicado hoy, y agregó que «esta variedad de malware tiene una gran prevalencia en América del Norte, América del Sur, Europa, Asia y e incluso Australia”. OALabs documentó por primera vez los detalles sobre la campaña en marzo de 2024, en la que los usuarios fueron atraídos a descargar un cargador de malware escrito en Lua explotando una peculiaridad en GitHub para organizar cargas útiles maliciosas. McAfee Labs, en un análisis posterior, detalló el uso de la misma técnica por parte de los actores de amenazas para ofrecer una variante del ladrón de información RedLine al alojar los archivos ZIP que contienen malware dentro de repositorios legítimos de Microsoft. «Deshabilitamos las cuentas de usuario y el contenido de acuerdo con las Políticas de uso aceptable de GitHub, que prohíben publicar contenido que respalde directamente ataques activos ilegales o campañas de malware que estén causando daños técnicos», dijo GitHub a The Hacker News en ese momento. «Continuamos invirtiendo en mejorar la seguridad de GitHub y nuestros usuarios, y estamos buscando medidas para protegernos mejor contra esta actividad». El análisis de la actividad realizado por Morphisec ha descubierto un cambio en el mecanismo de entrega de malware, una simplificación que probablemente sea un intento de pasar desapercibida. «El malware se entrega con frecuencia utilizando scripts Lua ofuscados en lugar de códigos de bytes Lua compilados, ya que este último puede generar sospechas más fácilmente», dijo Uzan. Dicho esto, la cadena de infección general permanece sin cambios en el sentido de que los usuarios que buscan motores de secuencias de comandos de trampa populares como Solara y Electron en Google reciben sitios web falsos que incorporan enlaces a archivos ZIP con trampas explosivas en varios repositorios de GitHub. El archivo ZIP viene con cuatro componentes: un compilador de Lua, una DLL de intérprete de tiempo de ejecución de Lua (“lua51.dll”), un script de Lua ofuscado y un archivo por lotes (“launcher.bat”), el último de los cuales se utiliza para ejecutar el script Lua usando el compilador Lua. En la siguiente etapa, el cargador (es decir, el script Lua malicioso) establece comunicaciones con un servidor de comando y control (C2) y envía detalles sobre el sistema infectado. El servidor, en respuesta, emite tareas que son responsables de mantener la persistencia u ocultar procesos, o descargar nuevas cargas útiles como Redone Stealer o CypherIT Loader. «Los ladrones de información están ganando prominencia en el panorama a medida que las credenciales obtenidas de estos ataques se venden a grupos más sofisticados para ser utilizadas en etapas posteriores del ataque», dijo Uzan. «En particular, RedLine tiene un mercado enorme en la Dark Web que vende estas credenciales recopiladas». La divulgación se produce días después de que Kaspersky informara que los usuarios que buscan versiones pirateadas de software popular en Yandex están siendo atacados como parte de una campaña diseñada para distribuir un minero de criptomonedas de código abierto llamado SilentCryptoMiner mediante un implante binario compilado por AutoIt. La mayoría de los ataques se dirigieron a usuarios de Rusia, seguidos de Bielorrusia, India, Uzbekistán, Kazajstán, Alemania, Argelia, República Checa, Mozambique y Turquía. «El malware también se distribuyó a través de canales de Telegram dirigidos a inversores en criptomonedas y en descripciones y comentarios en videos de YouTube sobre criptomonedas, trampas y juegos de azar», dijo la compañía en un informe la semana pasada. «Aunque el objetivo principal de los atacantes es obtener ganancias extrayendo criptomonedas de forma sigilosa, algunas variantes del malware pueden realizar actividades maliciosas adicionales, como reemplazar carteras de criptomonedas en el portapapeles y tomar capturas de pantalla». Actualización La empresa rusa de ciberseguridad Doctor Web ha arrojado luz sobre una campaña a gran escala que emplea software falso de Microsoft Excel, trucos de juegos y robots comerciales en línea para distribuir malware SilentCryptoMiner y clipper, lo que corrobora los hallazgos de Kaspersky. La actividad ha afectado a no menos de 28.000 personas de Rusia, Bielorrusia, Uzbekistán, Kazajstán, Ucrania, Kirguistán y Turquía, lo que le ha reportado al adversario más de 6.000 dólares en criptomonedas utilizando solo el cortapelos. «La fuente de infección son las páginas fraudulentas creadas por atacantes en GitHub (tenga en cuenta que esta actividad está prohibida por las reglas de la plataforma) o las páginas de YouTube que contienen enlaces de malware en la descripción debajo del video», señaló Doctor Web en un informe publicado el 8 de octubre. 2024. Los usuarios que terminan haciendo clic en los enlaces reciben un archivo autoextraíble protegido con contraseña que, en última instancia, allana el camino para la implementación de las cargas útiles del minero (“deviceId.dll”) y del malware clipper (“7zxa.dll”). . ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos. URL de la publicación original: https://thehackernews.com/2024/10/gamers-tricked-into-downloading-lua.html