Ha surgido una sofisticada campaña de malware explotando la plataforma GitHub confiable para distribuir software malicioso disfrazado de herramientas legítimas.
Los actores de amenaza han armado con éxito el popular repositorio de código para alojar y distribuir el famoso malware de robador de lumma, disfrazándolo como útiles utilidades como “VPN gratis para PC” y “cambiador de piel de Minecraft”.
Esta campaña engañosa demuestra cómo los ciberdelincuentes están aprovechando cada vez más plataformas de buena reputación para evitar las medidas de seguridad y explotar la confianza del usuario.
La operación de malware se centra en un gotero llamado Launch.exe, que sirve como el mecanismo inicial de entrega de carga útil.
Cuando los usuarios desprevenidos descargan lo que creen que es un software gratuito del repositorio de GitHub alojado por el usuario Samaioec, inadvertidamente ejecutan un sofisticado sistema de implementación de malware de varias etapas.
El éxito de la campaña radica en su enfoque de ingeniería social, dirigida a usuarios que buscan alternativas gratuitas a las soluciones de software pagadas.
Analistas de cyfirma identificado Esta amenaza a través del monitoreo integral de campañas cibernéticas emergentes dirigidas a organizaciones e individuos.
La investigación reveló que el malware emplea técnicas de evasión avanzada, incluida la inyección de procesos, la carga lateral de DLL y los métodos de ofuscación complejos para evitar la detección de soluciones de seguridad tradicionales.
La infraestructura de la campaña incluye múltiples servidores de comando y control, con el dominio principal de exploración de dominio.
El análisis técnico revela que el lanzamiento.exe funciona como un cuentagotas sofisticado que contiene cargas maliciosas codificadas en Base64.
Metadatos de ensamblaje falso (fuente – Cyfirma)
Tras la ejecución, el malware realiza varias operaciones engañosas, comenzando con la creación de metadatos de ensamblaje falsos diseñados para confundir herramientas de análisis automatizadas.
La información de ensamblaje incluye entradas no sensibles como “CompanyName” que figuran como “Ejecutar él piensa” y “Filedescription” como “colaborar el sistema negro”, lo que indica el uso de constructores de malware automatizados para generar metadatos aleatorios.
Mecanismo de infección y implementación de carga útil
El mecanismo de infección del malware demuestra una sofisticación técnica avanzada a través de su sistema de entrega de carga útil de varias etapas.
El lanzador inicial.exe dropper contiene una DLL codificada por Base64 que sufre procesos de decodificación y ofuscación complejos antes de la ejecución.
Técnica de ofuscación (Fuente – Cyfirma)
El malware emplea una función personalizada llamada Sincosmath () que realiza operaciones bit a bit en la carga útil codificada, aplicando operaciones bit a bits seguidas de sustracciones aritméticas para descifrar el código malicioso oculto.
Private static void sincosmath (byte () data) {for (int i = 0; i
Luego, el gotero utiliza técnicas de carga dinámica a través de las llamadas de API de Windows, incluidas LoadLibrary y GetProcaddress para ejecutar la función de exportación GetGamedata de DLL maliciosa.
Este enfoque permite al malware inyectar su carga útil en procesos legítimos de Windows como msbuild.exe y aspnet_regiis.exe, ocultando efectivamente sus actividades maliciosas dentro de los procesos de sistemas confiables mientras establece la persistencia y evade mecanismos de detección.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
