Nicolai Busekist
Sikkerhedseksperter advarer nu om en ny cybertrussel, hvor falsk VPN-software, der hostes på GitHub, bruges til at sprede malware.
En rapport fra Cyfirma beskriver, hvordan malware udgiver sig for at være en ‘Gratis VPN til PC’ og lokker brugere til at downloade, hvad der i virkeligheden er en avanceret dropper til Lumma Stealer.
Den samme malware er også blevet spredt under navnet ‘Minecraft Skin Changer’ og er rettet mod gamere og almindelige brugere, der søger gratis værktøjer. Det skriver TechRadar.
Når filen køres, bruger droppere en angrebskæde i flere stadier, der inkluderer obfuskering, dynamisk DLL-indlæsning, hukommelsesinjektion og misbrug af legitime Windows-værktøjer som MSBuild.exe og aspnet_regiis.exe for at holde sig skjult og i gang.
Kampagnens succes afhænger af brugen af GitHub til distribution. Repositoriet github[.]com/SAMAIOEC hostede en række ZIP-filer med adgangskode og detaljerede installationsinstruktioner, hvilket fik malwaren til at fremstå legitim.
Inde i filen er nyttelasten obfuskeret med fransk tekst og kodet i Base64.
“Det, der begynder med en vildledende VPN-download, ender med en hukommelsesinjektionsbaseret Lumma Stealer, der kører gennem betroede systemprocesser,” skriver Cyfirma.
Ved eksekvering udfører Launch.exe en avanceret udpakningsproces, hvor en Base64-kodet streng dekodes og ændres for at aflevere en DLL-fil, msvcp110.dll, i brugerens AppData-mappe.
Denne DLL forbliver skjult, bliver indlæst dynamisk under kørsel og kalder funktionen GetGameData(), som aktiverer sidste fase af angrebet.
Såkaldt ‘reverse engineering’ af denne software er vanskeligt på grund af anti-debugging-strategier som IsDebuggerPresent() og obfuskering af kontrolflow. Angrebet benytter MITRE ATT&CK-teknikker som DLL side-loading, sandbox-unddragelse og eksekvering direkte i hukommelsen.
Sådan beskytter du dig
For at undgå angreb som dette bør alle og enhver afholde sig fra at installere uofficiel software – især programmer, der lover gratis VPN eller modifikationer til spil.
Risikoen stiger markant ved at køre ukendte programmer fra repositories, hvilket også gør sig gældende, hvis de ligger på anerkendte platforme.
Filer, der downloades fra GitHub eller lignende steder, bør man som udgangspunkt aldrig stole på – især ikke hvis de leveres som ZIP-arkiver med adgangskode eller indeholder uklare installationsvejledninger.
Kør heller aldrig eksekverbare filer fra ukendte kilder, uanset hvor nyttige de måtte virke.
Man bør også aktivere ekstra beskyttelse ved at deaktivere muligheden for at køre eksekverbare filer fra mapper som AppData, som ofte misbruges af hackere til at skjule deres nyttelast.
DLL-filer, der findes i roaming- eller midlertidige mapper, bør altid undersøges nærmere.
Hold øje med usædvanlig filaktivitet på computeren, og overvåg processer som MSBuild.exe og andre systemopgaver i joblisten eller systemværktøjer, der opfører sig unormalt.
På teknisk niveau anbefales det at bruge antivirusprogrammer med adfærdsbaseret detektion frem for kun traditionelle scanninger, og at benytte værktøjer med DDoS-beskyttelse og endpoint-sikkerhed for at dække bredere trusler – herunder hukommelsesinjektion, skjult procesoprettelse og misbrug af API’er.
