Новая угроза для геймеров: Lumma Stealer маскируется под обновления игр на itch.io и Patreon

Эксперты обнаружили серию спам-комментариев на страницах легитимных игр на itch.io. Новые аккаунты оставляют шаблонные сообщения о выходе «обновления», предлагая скачать его по ссылке на Patreon. Файл, маскирующийся под архив «Updated Version.zip», содержит, на первый взгляд, безобидные файлы, за исключением основного исполняемого файла «game.exe». Именно он является носителем вредоносной нагрузки (payload).

Статический анализ показал, что «game.exe» скомпилирован с помощью инструмента nexe, что указывает на его происхождение из приложения Node.js. Этот метод упаковки ранее не был широко известен в контексте реальных вредоносных атак. После декомпиляции обнаруживается обфусцированный JavaScript-файл «mains.js», который после очистки кода демонстрирует сложную многоэтапную логику.

Программа использует как минимум шесть уровней анти-анализа для обнаружения виртуальных сред и инструментов исследователей. Во-первых, она проверяет объем оперативной памяти и количество ядер процессора, завершая работу в системах с подозрительно низкими характеристиками. Во-вторых, сверяет имя пользователя системы с обширным списком, включающим имена, характерные для песочниц (sandbox) и анализа, такие как «sandbox», «vmware» или «malware».

В-третьих, скрипт ищет в списке запущенных процессов сотни названий инструментов для отладки, мониторинга и обратной разработки - от OllyDbg и Wireshark до Process Hacker и Frida. Четвертый и пятый модули анализируют видеоконтроллер и частоту обновления монитора, чтобы отсечь типичные для виртуальных машин значения. Наконец, проверяется модель жесткого диска на наличие признаков виртуализации.

Только пройдя все эти проверки, вредоносная программа приступает к выполнению основной задачи. Она декодирует из Base64 и записывает в системную временную папку DLL-библиотеку «modules.node». Эта библиотека затем используется для рефлексивной загрузки основного вредоносного модуля, который является вариантом инфостилера (stealer) Lumma Stealer.

Lumma Stealer - это опасный вор информации, предназначенный для кражи учетных данных, файлов cookie, криптовалютных кошельков и других конфиденциальных данных. Его появление в этой кампании демонстрирует, что угроза направлена не просто на нарушение работы системы, а на конкретную кражу цифровых активов пользователей.

Анализ различных образцов показал, что, вероятно, за кампанией стоит одна группа злоумышленников. Они постоянно вносят небольшие изменения в код, например, заменяя команды WMI на PowerShell для получения тех же системных данных, чтобы затруднить сигнатурное обнаружение. Несмотря на то что администрация itch.io уже блокирует такие аккаунты, злоумышленники оперативно регистрируют новые и продолжают рассылку.

Эта атака служит серьезным напоминанием для игроков, особенно на независимых платформах. Киберпреступники эксплуатируют доверие внутри комьюнити и желание пользователей получить последние версии игр. Специалисты по безопасности настоятельно рекомендуют никогда не скачивать файлы из непроверенных источников, даже если они размещены на уважаемых платформах, и всегда получать обновления исключительно через официальные каналы разработчиков.

SHA256

• 102b99b00a60f33246bd89bd2b3cb9cfae2844d453484e932b3a5ca634fb308c
• 1d405b03bc5913b6b43c06550ef0b9b02196b270625e4dc5fa0c37e8a424be25
• 79250523a057a7dd9a6080099c8c2f83eb683ab9b37ecab149fc73524f7c4bd1
• 80e538cabade94e1883f9e72bb608dc02f79808aec48136b5bbb00c2a1717f64
• a2bacb00dfdb338b496d3128705f76c8cc935e6bd33e06271fb3e34d769d0a2b