Uočena je sofisticirana kampanja malicioznog softvera koja koristi vještačku inteligenciju za kreiranje varljivih GitHub repozitorija kako bi distribuisala SmartLoader korisne podatke koji na kraju postavljaju Lumma Stealer, opasan maliciozni softver za krađu informacija.
Ova operacija iskorištava pouzdanu reputaciju GitHub-a da zaobiđe sigurnosnu odbranu, ciljajući korisnike koji traže modove za igre, krekovan softver i alate za kriptovalute putem dokumentacije generisane vještačkom inteligencijom i strateški zamagljenih skripti.
GitHub maliciozna kampanja iskorištava AI
Prema izvještajima Trend Micro-a , hakeri koji stoje iza ove kampanje, praćeni kao Water Kurita, promijenili su taktiku sa hostovanja malicioznih datoteka u GitHub prilozima na kreiranje punih skladišta s README datotekama generisanim od vjeptačke inteligencije.
Ova skladišta oponašaju legitimne projekte kroz uglađenu dokumentaciju, strukturisani sadržaj s emoji simbolima i hiperlinkovane logotipe – sve su to obilježja generativnog AI izlaza dizajniranog da zaobiđe ljudski nadzor.
Skladišta sadrže samo README datoteku u svojoj glavnoj grani, sa malicioznim ZIP arhivama (npr. Release.zip) skrivenim u odjeljku Izdanja kako bi se izbjeglo automatsko skeniranje koda.
Kada korisnici preuzimaju i izdvajaju ove arhive, nailaze na četiri komponente:
- lua51.dll – legitiman LUAJIT interpreter vremena izvođenja
- luajit.exe – Izvršna datoteka za učitavanje Lua
- userdata.txt – Zamagljena maliciozna Lua skripta
- Launcher.bat – Batch datoteka koja izvršava luajit.exe userdata.txt
Batch fajl pokreće višestepeni lanac napada u kojem se Lua skripta povezuje sa serverima za komandu i kontrolu (C&C), preuzima dodatna korisna opterećenja i uspostavlja postojanost putem zakazanih zadataka.
Ova tehnika omogućava malicioznom softveru da preživi ponovno pokretanje sistema dok provodi izviđanje sistema koristeći naredbe kao što su:
Ove naredbe ispituju prisutnost sigurnosnog softvera proizvođača kao što su Avast, Bitdefender i ESET.
Lumma Stealer i njegove taktike
SmartLoader koristi višestruke slojeve zamagljivanja, uključujući Prometheus Obfuscator i Lua-in interfejs stranih funkcija (FFI), da ometa analizu.
Učitavač preuzima dvije kritične datoteke sa GitHub-a – lmd.txt i l.txt – preimenujući ih u search.exe ( Lumma Stealer ) i debug.lua (sekundarna skripta).
Napad kulminira izvršenjem naoružanog tumača AutoIt pod nazivom Research.com koji dešifruje i pokreće maliciozni kod skriven u lažnim Excel datotekama:
Ovaj proces konkatenacije ponovo sastavlja šifrovani Lumma Stealer korisni teret iz distribuisanih fragmenata.
Maliciozni softver tada pokreće sesije otklanjanja grešaka u search-u kako bi zaobišao sigurnosne kontrole:
Ova tehnika omogućava neovlašteni pristup podacima i ekstenzijama pretraživača, posebno ciljajući novčanike kriptovaluta poput MetaMask i 2FA alate kao što je Authy.
Eksfiltracija podataka i operativni uticaj
Lumma Stealer uspostavlja komunikaciju sa svojim C&C serverom u pasteflawded[.]svetu, eksfiltrirajući:
- Akreditivi pretraživača i kolačići sesije
- Seeds novčanika i privatni ključevi kriptovaluta
- Podaci proširenja dvofaktorske autentifikacije
- Snimci ekrana i sadržaj međuskladišta
- Sistemski metapodaci za ciljane naknadne napade
Strategije ublažavanja i odbrana
Kako bi se suprotstavila ovim rastućim prijetnjama, kompanija za kibernetičku sigurnost Trend Micro preporučuje:
- Implementacija liste dozvoljenih aplikacija za blokiranje neovlaštenih skripti
- Primena detekcije zasnovane na ponašanju za obrasce izvršavanja Lua skripte
- Ograničavanje pristupa GitHub API-ju kako bi se spriječilo automatsko kloniranje skladišta
- Konfigurisanje sigurnosnih pristupnika e-pošte za presretanje phishing mamaca koje promovišu lažna skladišta
- Provođenje obaveznih procesa pregleda koda za ovisnosti trećih strana
Izvor: CyberSecurityNews
