È stata scoperta una nuova ondata di un malware basato sul linguaggio di programmazione Lua (da qui il nome del codice malevole) che prende di mira gli “student gamer”, sfruttando il loro interesse nella loro ricerca di cheat per giochi.
Questo malware, distribuito tramite script Lua offuscati, rappresenta una minaccia significativa per la sicurezza informatica. Infatti, come spiegato nel rapporto dei ricercatori di sicurezza di Morphisec che hanno isolato la minaccia, gli script Lua vengono scelti dagli attaccanti per la loro capacità di essere offuscati facilmente, rendendo più difficile la loro rilevazione rispetto al bytecode Lua compilato.
Questo aumenta le probabilità che i malware così implementati eludano i software antivirus e gli strumenti di sicurezza.
Indice degli argomenti
La catena d’infezione del malware Lua
Il malware viene solitamente distribuito, in genere su piattaforme come GitHub, con un archivio ZIP che contiene diversi componenti e spesso mascherato da cheat per videogiochi o altri strumenti correlati al gaming:
- un compilatore Lua che funge da loader;
- un file DLL Lua;
- uno script Lua offuscato tramite lo strumento Prometheus Obfuscator;
- un file batch che esegue lo script.
Fonte: Morphisec.
All’esecuzione, il file batch esegue il compilatore (“Compiler.exe”) per caricare la DLL (“Lua51.dll”) e interpretare lo script Lua offuscato (“Conf.txt”). Una volta eseguito, lo script Lua comunica con un server di comando e controllo C2 per ricevere ulteriori istruzioni.
Questo permette agli attaccanti di eseguire una varietà di azioni dannose sul computer della vittima, come il furto di dati personali, l’installazione di ulteriori malware, o il controllo remoto del sistema.
“In risposta, il server fornisce task divisi in due categorie: Lua loader tasks, che implicano azioni come il mantenimento della persistenza o l’occultamento dei processi, e task payloads, che si concentrano sul download di nuovi payload e sulle loro configurazioni”, spiega il ricercatore Shmuel Uzan di Morphisec.
Tecniche di distribuzione del malware Lua
Le tecniche di distribuzione utilizzate in questi attacchi includono il SEO poisoning, in cui i risultati dei motori di ricerca vengono alterati per indirizzare gli utenti verso siti Web malevoli.
Nella fattispecie, è stato scoperto che le pubblicità per motori di script cheating popolari come Solara ed Electron, indirizzavano gli utenti verso repository GitHub ospitanti diverse varianti del malware basato su Lua (tali repository utilizzerebbero spesso per il download link a richieste push github.com/user-attachments).
Fonte: Morphisec
Come proteggersi dal malware Lua
Per evitare di cadere vittima di questo tipo di malware, è fondamentale seguire alcune buone pratiche di sicurezza:
- Scaricare software solo da fonti affidabili: Evitare di scaricare cheat o altri software da siti non verificati.
- Utilizzare software antivirus aggiornati: Assicurarsi che il proprio software antivirus sia sempre aggiornato per rilevare le minacce più recenti.
- Essere cauti con gli allegati e i download: Non aprire allegati o eseguire file scaricati da fonti sconosciute.
Il malware Lua che sfrutta falsi cheat per giochi è un esempio di come gli attaccanti informatici continuino a evolversi e a trovare nuovi modi per ingannare le vittime. Vale la pena notare che la catena di infezione non termina solo con la distribuzione di questo malware.
L’attività del suo server C2 porterebbe anche al download dell’infostealer Redline.
“Gli infostealer stanno guadagnando importanza nel panorama poiché le credenziali raccolte da questi attacchi vengono vendute a gruppi più sofisticati per essere utilizzate nelle fasi successive dell’attacco”, conclude il ricercatore Uzan; “Redline ha in particolare un enorme mercato nel Dark Web che vende queste credenziali raccolte”.
Ancora più preoccupante è che queste campagne sono state osservate in modo diffuso in Nord e Sud America, Europa, Asia e Australia. Sebbene abbiano preso di mira il settore educational, le modalità di distribuzione analizzate da Morphisec potrebbero essere facilmente adottate e personalizzate per colpire bacini di utenti in svariati altri settori.
