Под видом игровых читов, взломанных программ и утилит они распространяют SmartLoader, который затем загружает Lumma Stealer и другие угрозы.
Преступники используют ИИ для создания правдоподобных репозиториев с описаниями, похожими на безвредниые. ZIP-архивы содержат обфусцированные скрипты на Lua, которые активируют вредоносные программы при распаковке. Об этом пишет Securitylab.
Попав на устройство, Lumma Stealer ворует криптовалютные кошельки, 2FA-расширения, учётные данные и личные данные, что может привести к финансовым потерям. Ранее злоумышленники загружали вредоносные файлы в GitHub как вложения, но теперь они создают целые поддельные репозитории, усложняя их обнаружение.
Файлы в заражённых архивах:
— lua51.dll — библиотека интерпретатора LuaJIT;
— luajit.exe — исполняемый файл загрузчика Lua;
— userdata.txt — скрытый вредоносный скрипт;
— Launcher.bat — скрипт для запуска luajit.exe.
После запуска SmartLoader загружает файл «search.exe», который активирует Lumma Stealer. Затем заражённое устройство подключается к C2-серверу «pasteflawwed[.]world», передавая украденные данные.
Киберпреступники используют доверие к GitHub, чтобы распространять вредоносное ПО, а применение ИИ позволяет автоматизировать создание поддельных репозиториев.