Киберпреступники создают поддельные репозитории на GitHub, маскируя вредоносное ПО под бесплатные модификации игр, взломанное программное обеспечение и утилиты для криптовалют. Привлекательные README-файлы и детальная документация позволяют обманным путем внедрить SmartLoader, который в дальнейшем доставляет Lumma Stealer и другие злонамеренные компоненты.
Платформа GitHub используется из-за своего заслуженного доверия, что позволяет злоумышленникам обходить системы обнаружения угроз. Искусственный интеллект применяется для генерации убедительного контента: чрезмерное использование эмодзи, неестественные обороты и структурированные гиперссылки создают видимость легитимного проекта, что затрудняет распознавание фальшивых репозиториев даже опытными пользователями.
Жертвы привлекаются обещаниями бесплатных игровых модов, крэков и криптовалютных утилит, после чего им предлагается скачать ZIP-архивы с названиями «Release.zip» или «Software.zip». Архив включает файл lua51.dll (интерпретатор LUAJIT), luajit.exe (загрузчик Lua), userdata.txt с обфусцированным Lua-скриптом и Launcher.bat, запускающий luajit.exe с userdata.txt в качестве аргумента. Эта цепочка приводит к выполнению вредоносного скрипта, который компрометирует систему жертвы.
Сравнение с кампанией, зафиксированной в октябре 2024 года, выявило сходство в использовании обфусцированных Lua-скриптов, batch-цепочек и методов социальной инженерии. Новая тактика основана на создании целостных репозиториев с AI-сгенерированным контентом вместо традиционных вложений. Дополнительно вредоносный скрипт использует Prometheus Obfuscator и библиотеку ffi для затруднения анализа, а загрузчик связывается с командно-управляющим сервером. Механизмы устойчивости включают создание планировщика задач и сбор системной информации. В цепочку атак также входят компоненты CypherIT Loader/Crypter и инфостилер Redline, широко известный на торгах даркнета.
SmartLoader при активации раздувает размер файлов до 1 ГБ, скачивая с GitHub файл, сохраняемый как search.exe, запуск которого инициирует Lumma Stealer. Batch-скрипт объединяет Excel-файлы с именами Entertaining.xls, Divide.xls, Providence.xls, Shakespeare.xls, Adolescent.xls, Divided.xls, Unnecessary.xls и Karma.xls. При этом срабатывают команды обнаружения программ безопасности, такие как «findstr /I 'opssvc wrsa'», и осуществляется поиск процессов AvastUI, AVGUI, bdservicehost, nsWscSvc, ekrn и SophosHealth. Также создаётся файл «Research.com» в папке %TEMP% — поддельный интерпретатор AutoIT, после чего происходит отладка браузера через Microsoft Edge с параметрами: "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --profile-directory="Default" --remote-debugging-port=9222.
После выполнения цепочки Lumma Stealer устанавливает связь с командно-управляющим сервером по адресу pasteflawwed[.]world. Через этот канал злоумышленники получают доступ к журналам и конфиденциальным данным, включая криптовалютные кошельки, расширения двухфакторной аутентификации, учетные записи и персональную информацию. Такая деятельность приводит к краже идентичности, финансовым мошенничествам и несанкционированному доступу к важным сервисам, а собранные данные могут быть проданы другим киберпреступникам.
Для снижения риска заражения рекомендуется загружать программное обеспечение только с официальных источников и тщательно проверять подлинность репозиториев, обращая внимание на историю изменений и отсутствие явных следов AI-генерации. Внедрение средств защиты конечных устройств, проверка файлов в sandbox-среде, блокировка известных вредоносных репозиториев и мониторинг систем с помощью SIEM-систем значительно снижают вероятность компрометации. Обучение пользователей методам противодействия социальной инженерии и строгий контроль запуска приложений и сетевого трафика также являются эффективными мерами.
Облачная платформа, опирающаяся на данные от 250 миллионов сенсоров и 16 исследовательских центров угроз, позволяет получать детальные сведения о рисках, осуществлять раннее обнаружение и автоматизированный ответ на инциденты. Индикаторы компрометации, включая хеши для файлов l.txt и lmd. Шеф доступны через специализированные ресурсы. Группа Water Kurita отслеживается как организатор распространения Lumma Stealer в рамках модели Malware-as-a-Service, что демонстрирует эволюцию киберпреступных тактик с использованием искусственного интеллекта.
Изображение носит иллюстративный характер
Платформа GitHub используется из-за своего заслуженного доверия, что позволяет злоумышленникам обходить системы обнаружения угроз. Искусственный интеллект применяется для генерации убедительного контента: чрезмерное использование эмодзи, неестественные обороты и структурированные гиперссылки создают видимость легитимного проекта, что затрудняет распознавание фальшивых репозиториев даже опытными пользователями.
Жертвы привлекаются обещаниями бесплатных игровых модов, крэков и криптовалютных утилит, после чего им предлагается скачать ZIP-архивы с названиями «Release.zip» или «Software.zip». Архив включает файл lua51.dll (интерпретатор LUAJIT), luajit.exe (загрузчик Lua), userdata.txt с обфусцированным Lua-скриптом и Launcher.bat, запускающий luajit.exe с userdata.txt в качестве аргумента. Эта цепочка приводит к выполнению вредоносного скрипта, который компрометирует систему жертвы.
Сравнение с кампанией, зафиксированной в октябре 2024 года, выявило сходство в использовании обфусцированных Lua-скриптов, batch-цепочек и методов социальной инженерии. Новая тактика основана на создании целостных репозиториев с AI-сгенерированным контентом вместо традиционных вложений. Дополнительно вредоносный скрипт использует Prometheus Obfuscator и библиотеку ffi для затруднения анализа, а загрузчик связывается с командно-управляющим сервером. Механизмы устойчивости включают создание планировщика задач и сбор системной информации. В цепочку атак также входят компоненты CypherIT Loader/Crypter и инфостилер Redline, широко известный на торгах даркнета.
SmartLoader при активации раздувает размер файлов до 1 ГБ, скачивая с GitHub файл, сохраняемый как search.exe, запуск которого инициирует Lumma Stealer. Batch-скрипт объединяет Excel-файлы с именами Entertaining.xls, Divide.xls, Providence.xls, Shakespeare.xls, Adolescent.xls, Divided.xls, Unnecessary.xls и Karma.xls. При этом срабатывают команды обнаружения программ безопасности, такие как «findstr /I 'opssvc wrsa'», и осуществляется поиск процессов AvastUI, AVGUI, bdservicehost, nsWscSvc, ekrn и SophosHealth. Также создаётся файл «Research.com» в папке %TEMP% — поддельный интерпретатор AutoIT, после чего происходит отладка браузера через Microsoft Edge с параметрами: "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --profile-directory="Default" --remote-debugging-port=9222.
После выполнения цепочки Lumma Stealer устанавливает связь с командно-управляющим сервером по адресу pasteflawwed[.]world. Через этот канал злоумышленники получают доступ к журналам и конфиденциальным данным, включая криптовалютные кошельки, расширения двухфакторной аутентификации, учетные записи и персональную информацию. Такая деятельность приводит к краже идентичности, финансовым мошенничествам и несанкционированному доступу к важным сервисам, а собранные данные могут быть проданы другим киберпреступникам.
Для снижения риска заражения рекомендуется загружать программное обеспечение только с официальных источников и тщательно проверять подлинность репозиториев, обращая внимание на историю изменений и отсутствие явных следов AI-генерации. Внедрение средств защиты конечных устройств, проверка файлов в sandbox-среде, блокировка известных вредоносных репозиториев и мониторинг систем с помощью SIEM-систем значительно снижают вероятность компрометации. Обучение пользователей методам противодействия социальной инженерии и строгий контроль запуска приложений и сетевого трафика также являются эффективными мерами.
Облачная платформа, опирающаяся на данные от 250 миллионов сенсоров и 16 исследовательских центров угроз, позволяет получать детальные сведения о рисках, осуществлять раннее обнаружение и автоматизированный ответ на инциденты. Индикаторы компрометации, включая хеши для файлов l.txt и lmd. Шеф доступны через специализированные ресурсы. Группа Water Kurita отслеживается как организатор распространения Lumma Stealer в рамках модели Malware-as-a-Service, что демонстрирует эволюцию киберпреступных тактик с использованием искусственного интеллекта.
