СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.07.2025
#Dev#ИБ#Инфра

Новая вредоносная кампания Lumma Stealer через GitHub-репозитории

Новая вредоносная кампания Lumma Stealer через GitHub-репозитории

Источник: www.cyfirma.com

Недавний анализ, проведённый компанией CYFIRMA, выявил новую вредоносную кампанию, распространяющуюся через платформу GitHub. Злоумышленники маскируют вредоносное ПО под популярные и безобидные инструменты – например, «Бесплатный VPN для ПК» и «Средство смены скинов Minecraft». Основным компонентом атаки выступает вредоносная программа-дроппер Launch.exe, которая осуществляет сложную цепочку действий для внедрения в систему и передачи вредоносной нагрузки – известного крадущего информацию ПО Lumma Stealer.

Механизмы распространения и методы обхода защиты

Распространение вредоносного ПО происходит через специально созданные репозитории GitHub. В них злоумышленники размещают поддельные проекты, снабжённые детальными инструкциями по эксплуатации, а также защищёнными паролем ZIP-архивами, что позволяет обходить стандартные меры безопасности платформы. Ключевые особенности кампании включают:

  • Использование DLL-файла с кодировкой Base64 и сложной обфускацией, который динамически загружается и исполняется в памяти;
  • Применение легитимных системных процессов Windows, таких как MSBuild.exe и aspnet_regiis.exe, для обхода средств защиты и затруднения обнаружения вредоносной активности;
  • Присутствие бессмысленных метаданных сборки, не связанных ни с одним известным ПО или организацией, что свидетельствует об использовании методов сокрытия личности разработчика;
  • Вызов функций Windows API посредством P/Invoke для динамической загрузки DLL и управления выполнением, что обеспечивает гибкость и устойчивость вредоноса.

Работа вредоносного компонента и поддержание скрытности

После запуска Launch.exe вредоносное ПО удаляет DLL-файл msvcp110.dll из папки AppData пользователя. Этот файл содержит зашифрованную полезную нагрузку, спрятанную в формате Base64 с бессмысленным текстом вокруг, что затрудняет её анализ и обнаружение.

Для сохранения устойчивого присутствия в системе вредоносная программа использует несколько функций Windows, позволяющих выделять память и контролировать этапы своего выполнения, обеспечивая постоянство работы.

Коммуникация с управляющим сервером и связь с Lumma Stealer

Отметим, что вредоносное ПО пытается установить связь с командным сервером по домену explorationmsn.store. Анализ трафика и паттернов указывает на принадлежность этого домена известной инфраструктуре Lumma Stealer, что подтверждает причастность злоумышленников к этой вредоносной кампании.

Вызовы и перспективы противодействия

Данная кампания демонстрирует растущую угрозу использования платформ с открытым кодом, таких как GitHub, в качестве площадок для распространения вредоносного ПО. Это требует от специалистов по кибербезопасности следующих мер:

  • Внедрение усовершенствованных инструментов мониторинга репозиториев для своевременного обнаружения и блокировки вредоносного контента;
  • Использование разработанных правил YARA, которые помогают выявлять экземпляры Lumma Stealer, замаскированные под легитимные приложения, основываясь на специфичных доменах и хэш-суммах файлов;
  • Усиление контроля за репозиториями open source и повышение осведомлённости пользователей о рисках, связанных с установкой программ из сомнительных источников.

Отметим, что личность хакера, стоящего за данной кампанией, остаётся неизвестной. Это вызывает дополнительные трудности в установлении авторства и подтверждает необходимость комплексного поиска угроз в экосистеме open source для снижения рисков, связанных с APT-активностью.

«Наличие бессмысленных метаданных и использование легитимных системных процессов – яркие признаки современных техник уклонения от обнаружения, которые требуют от специалистов максимального внимания и новых подходов в защите», – отмечают эксперты CYFIRMA.

Таким образом, исследование подчёркивает важность постоянного мониторинга и анализа репозиториев кода, поскольку киберпреступники всё активнее используют популярные платформы для внедрения сложных вредоносных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: