На GitHub нашли зловред под видом бесплатного VPN и тулов для Minecraft

Екатерина Быстрова 14 Июля 2025 - 09:57

...

На GitHub нашли зловред под видом бесплатного VPN и тулов для Minecraft

На GitHub снова распространяется зловред: на этот раз он маскируется под бесплатные утилиты вроде VPN для компьютера или Minecraft Skin Changer. В отчёте компании CYFIRMA говорится, что злоумышленники используют интерес к популярному софту, чтобы распространять Lumma Stealer — вредонос, который крадёт личные данные.

Цепочка заражения начинается с аккаунта github[.]com/SAMAIOEC, где были выложены «инструменты» с названиями вроде free-vpn-for-pc и minecraft-skin. Всё по классике: ZIP-архивы с паролем, подробные инструкции, чтобы вызвать доверие и обойти защиту браузеров.

Главная цель — заставить пользователя запустить файл Launch.exe. После этого начинается трёхступенчатая атака:

Шифровка и обфускация: внутри Launch.exe зашита DLL в Base64, спрятанная за 1177 символами псевдофранцузского текста. Расшифровка идёт через самописную функцию SinCosMath().
Засылка DLL и маскировка: зловред кладётся в AppData как msvcp110.dqq, потом переименовывается в msvcp110.dll и прячется через системные API Windows.
Запуск и внедрение: DLL грузится через LoadLibrary() и запускает вредонос через GetGameData(), затем внедряется в легитимные процессы вроде MSBuild.exe и aspnet_regiis.exe.

Всё это делается, чтобы внедрить Lumma Stealer максимально незаметно. Зловред умеет:

Определять, не запущен ли он в отладке (через IsDebuggerPresent()),
Маскироваться при помощи бессмысленных строк и запутанных циклов,
Коммуницировать с доменом explorationmsn[.]store, связанным с другими активностями Lumma Stealer.

Кто за этим стоит — неизвестно. CYFIRMA не нашла ни контактных данных, ни каких-либо других зацепок, позволяющих выйти на атакующего.

Итог простой, но тревожный: даже такие авторитетные платформы становятся каналом распространения вредоносов. Достаточно взять популярный поисковый запрос, выдать себя за полезный тул — и пользователь сам всё скачает и запустит.

CYFIRMA подчёркивает: мониторинг открытых репозиториев и проактивный анализ угроз сегодня важны как никогда. Бесплатный софт — это здорово, но доверяй и проверяй.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Взломан сайт аэропорта Пулково

Яков Шпунт 19 Сентября 2025 - 14:09

Атаки на сайты Взлом сайтов Кибервойны Целевые атаки Таргетированные атаки Общее

Аэропорт Пулково сообщил о взломе официального сайта. При этом сам аэропорт продолжает работать в штатном режиме. Сначала при заходе на сайт пользователи видели сообщение о технических работах, а позже страница начала перенаправлять на онлайн-табло Яндекса.

«Сайт аэропорта Пулково сегодня был взломан. Его работа на данный момент ограничена. Приносим извинения за временные неудобства. Ведутся работы по восстановлению», — сообщили в телеграм-канале Пулково.

Как уточнили в пресс-службе аэропорта, атака не затронула другие системы: приём и отправка рейсов проходит без сбоев.

«Взлом сайта — это не взлом компании. Да, подобные случаи заметны и сразу попадают в новости, но сам сайт — лишь точка входа. Если инфраструктура выстроена правильно, дальше дело не пойдёт. Обычно сайты размещаются в изолированной среде и имеют только необходимые подключения к внешним сервисам. Поэтому пока причин для паники нет», — прокомментировал ТАСС Сергей Полунин, глава группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Напомним, днём ранее сообщалось о сбое в работе авиакомпании «КрасАвиа», с большой вероятностью вызванном кибератакой.

В конце июля также произошла атака на «Аэрофлот», ответственность за которую взяли две проукраинские хактивистские группировки. Тогда были отменены несколько десятков рейсов.