На GitHub нашли зловред под видом бесплатного VPN и тулов для Minecraft
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

На GitHub нашли зловред под видом бесплатного VPN и тулов для Minecraft

Екатерина Быстрова 14 Июля 2025 - 09:57
...
На GitHub нашли зловред под видом бесплатного VPN и тулов для Minecraft

На GitHub снова распространяется зловред: на этот раз он маскируется под бесплатные утилиты вроде VPN для компьютера или Minecraft Skin Changer. В отчёте компании CYFIRMA говорится, что злоумышленники используют интерес к популярному софту, чтобы распространять Lumma Stealer — вредонос, который крадёт личные данные.

Цепочка заражения начинается с аккаунта github[.]com/SAMAIOEC, где были выложены «инструменты» с названиями вроде free-vpn-for-pc и minecraft-skin. Всё по классике: ZIP-архивы с паролем, подробные инструкции, чтобы вызвать доверие и обойти защиту браузеров.

Главная цель — заставить пользователя запустить файл Launch.exe. После этого начинается трёхступенчатая атака:

  1. Шифровка и обфускация: внутри Launch.exe зашита DLL в Base64, спрятанная за 1177 символами псевдофранцузского текста. Расшифровка идёт через самописную функцию SinCosMath().
  2. Засылка DLL и маскировка: зловред кладётся в AppData как msvcp110.dqq, потом переименовывается в msvcp110.dll и прячется через системные API Windows.
  3. Запуск и внедрение: DLL грузится через LoadLibrary() и запускает вредонос через GetGameData(), затем внедряется в легитимные процессы вроде MSBuild.exe и aspnet_regiis.exe.

Всё это делается, чтобы внедрить Lumma Stealer максимально незаметно. Зловред умеет:

  • Определять, не запущен ли он в отладке (через IsDebuggerPresent()),
  • Маскироваться при помощи бессмысленных строк и запутанных циклов,
  • Коммуницировать с доменом explorationmsn[.]store, связанным с другими активностями Lumma Stealer.

Кто за этим стоит — неизвестно. CYFIRMA не нашла ни контактных данных, ни каких-либо других зацепок, позволяющих выйти на атакующего.

 

Итог простой, но тревожный: даже такие авторитетные платформы становятся каналом распространения вредоносов. Достаточно взять популярный поисковый запрос, выдать себя за полезный тул — и пользователь сам всё скачает и запустит.

CYFIRMA подчёркивает: мониторинг открытых репозиториев и проактивный анализ угроз сегодня важны как никогда. Бесплатный софт — это здорово, но доверяй и проверяй.

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Главреда телеграм-канала Сапа Медиа задержали по делу о сливе данных
Яков Шпунт 15 Апреля 2026 - 09:16
Утечки информацииУмышленные утечки информацииКража данныхСоответствие законодательству РФ Домашние пользователиГосударство
Главреда телеграм-канала Сапа Медиа задержали по делу о сливе данных

Следственный комитет сообщил о задержании главного редактора телеграм-канала «Сапа Медиа» Алины Джикаевой и оперативного дежурного дежурной части УМВД России по Махачкале. Им вменяют превышение должностных полномочий, получение взятки и дачу взятки (п. «е» ч. 3 ст. 286 УК РФ, п. «в» ч. 5 ст. 290 УК РФ, п.п. «а», «б» ч. 4 ст. 291 УК РФ).

По версии следствия, Джикаева получала от сотрудника МВД оперативную и иную закрытую информацию, в том числе персональные данные граждан.

О задержании сообщила пресс-служба Следственного комитета. У фигурантов прошли обыски и другие следственные действия. Для проведения дальнейших мероприятий их доставляют в Москву.

«По данным следствия, не позднее июля 2020 года Джикаева, находясь в Москве, в соответствии с достигнутой договорённостью с оперативным дежурным ДЧ УМВД России по Махачкале получала сведения о происшествиях и оперативной обстановке на территории Дагестана и Республики Северная Осетия — Алания, содержащие персональные данные граждан», — говорится в сообщении ведомства.

Как утверждает следствие, полученные сведения затем публиковались в открытых источниках. Общая сумма взяток, по предварительной версии, составила около 250 тыс. рублей.

«Разглашение закрытой информации могло способствовать уничтожению следов преступлений, препятствовало раскрытию и расследованию уголовных дел. Кроме того, были нарушены законные интересы граждан, чьи персональные данные были распространены», — заявили в пресс-центре МВД, который также занимается оперативным сопровождением этого дела.

Как сообщает РБК, помимо Джикаевой, были увезены ещё несколько сотрудников «Сапы». Однако официального подтверждения этой информации пока нет.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
Роботакси Baidu зависли и оставили пассажиров стоять в пробках
Новость
Роботакси Baidu зависли и оставили пассажиров стоять в пробк...
Некоторые районы Москвы остались без мобильной связи
Новость
Некоторые районы Москвы остались без мобильной связи
В Ubuntu нашли опасный путь к root через штатные компоненты
Новость
В Ubuntu нашли опасный путь к root через штатные компоненты

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.