Morphisec Threat Labs обнаружила сложные варианты вредоносного ПО на языке Lua, нацеленные на образовательный сектор, в частности, использующие популярность игровых дополнений на основе Lua среди студентов.
Lua loader
Вредоносные программы распространяются через обфусцированные скрипты Lua, загружаемые с таких платформ, как GitHub, которые с меньшей вероятностью будут обнаружены, чем скомпилированный байткод Lua. В состав загружаемых файлов обычно входят компилятор Lua, DLL-файл Lua, обфусцированный скрипт и пакетный файл для его выполнения.
После выполнения загрузчик связывается с командно-контрольным (C2) сервером, отправляя сведения о зараженной машине и получая задания по поддержанию персистентности, скрытию процессов и загрузке новых полезных нагрузок и конфигураций. Вредоносная программа использует отравление поисковой оптимизации (SEO) и связана с популярными скриптовыми движками для обмана, такими как Solara и Electron, часто используемыми в Roblox. Вредоносная программа использует методы защиты от реверсирования, в том числе обфускацию, которая препятствует анализу, обнаруживая попытки переформатирования кода, и использует библиотеку Foreign Function Interface (FFI) для прямого выполнения кода на языке C.
Вредоносная программа собирает информацию о жертве, устанавливает постоянство с помощью запланированных задач и может обходить Windows Defender с повышенными привилегиями. Сервер C2 выдает команды загрузчику на выполнение или задания на загрузку дополнительной полезной нагрузки, а также механизмы обратного подключения к альтернативным адресам в случае блокировки. Примечательно, что вредоносная программа приводит к развертыванию Infostealers, таких как Redline, которые собирают учетные данные для продажи в Dark Web. Возможности вредоносной программы включают загрузку дополнительных полезных нагрузок, выполнение файлов и установку файлов в скрытое состояние с использованием различных методов, таких как инъекция DLL и сценарии PowerShell, для сохранения устойчивости и уклонения от обнаружения.
Indicators of Compromise
IPv4
- 146.19.128.146
- 185.208.158.36
- 185.221.198.82
- 185.236.228.12
- 212.193.4.66
- 77.73.129.64
Domains
- electronexec.com
- Solaraexec.cc
URLs
- github.com/user-attachments/files/16201677/getter.json
- github.com/user-attachments/files/16737781/Electron.zip
- github.com/user-attachments/files/16968308/socket.json
- github.com/user-attachments/files/17057089/SolaraV3.zip
SHA256
- 308721f4dc7818aed5f0282a3efa5944c1d16e97b0cb3bb5786009a186ea9791
- 3b515469aba46a0a08d8fcbd8feb98ce9bcebfa1a48d56be586dc9aa4584c0c2
- 8e59a9de633fc1e0a9da10268c606b898e7d5a6645ee21851465e027aefbaec9
- 98418f7079cc11970899a18098425d22414663301dbbad1c892a8c702b90223f
- 9aacf8f59b8daff24161549378c95174dac40b2fb01d7b8a78b513d3d35f6411
- aecdaa94885c3fcd856c3516311bf366ac5ee13b43c28560eadc1f637efcf432
- afd731bb658525845c8ee4216b05ce0c9c8b2e8b745884fbefeb01ef331163a1
- b3ecbe4132598ef746e2111ba29f46af06886677d18595b6845849577121707a
- e09370c9adc09c15eb8d05301bd3c74ef76e98b8a2fa2089df9c4ec5d7b4e047