На GitHub нашли зловред под видом бесплатного VPN и тулов для Minecraft

На GitHub снова распространяется зловред: на этот раз он маскируется под бесплатные утилиты вроде VPN для компьютера или Minecraft Skin Changer. В отчёте компании CYFIRMA говорится, что злоумышленники используют интерес к популярному софту, чтобы распространять Lumma Stealer — вредонос, который крадёт личные данные.

Цепочка заражения начинается с аккаунта github[.]com/SAMAIOEC, где были выложены «инструменты» с названиями вроде free-vpn-for-pc и minecraft-skin. Всё по классике: ZIP-архивы с паролем, подробные инструкции, чтобы вызвать доверие и обойти защиту браузеров.

Главная цель — заставить пользователя запустить файл Launch.exe. После этого начинается трёхступенчатая атака:

1. Шифровка и обфускация: внутри Launch.exe зашита DLL в Base64, спрятанная за 1177 символами псевдофранцузского текста. Расшифровка идёт через самописную функцию SinCosMath().
2. Засылка DLL и маскировка: зловред кладётся в AppData как msvcp110.dqq, потом переименовывается в msvcp110.dll и прячется через системные API Windows.
3. Запуск и внедрение: DLL грузится через LoadLibrary() и запускает вредонос через GetGameData(), затем внедряется в легитимные процессы вроде MSBuild.exe и aspnet_regiis.exe.

Всё это делается, чтобы внедрить Lumma Stealer максимально незаметно. Зловред умеет:

• Определять, не запущен ли он в отладке (через IsDebuggerPresent()),
• Маскироваться при помощи бессмысленных строк и запутанных циклов,
• Коммуницировать с доменом explorationmsn[.]store, связанным с другими активностями Lumma Stealer.

Кто за этим стоит — неизвестно. CYFIRMA не нашла ни контактных данных, ни каких-либо других зацепок, позволяющих выйти на атакующего.

Итог простой, но тревожный: даже такие авторитетные платформы становятся каналом распространения вредоносов. Достаточно взять популярный поисковый запрос, выдать себя за полезный тул — и пользователь сам всё скачает и запустит.

CYFIRMA подчёркивает: мониторинг открытых репозиториев и проактивный анализ угроз сегодня важны как никогда. Бесплатный софт — это здорово, но доверяй и проверяй.