Malware Lua tem como alvo jogadores estudantes por meio de cheats de jogos falsos
Pesquisadores descobrem malware Lua sofisticado visando estudantes gamers e instituições educacionais. Aprenda como esses ataques funcionam e como se manter protegido.
Os pesquisadores do Morphisec Threat Labs identificaram e bloquearam várias variantes de um malware baseado em Lua, direcionadas especificamente ao setor educacional. Esses ataques exploram a popularidade dos mecanismos de jogos baseados em Lua, amplamente usados por estudantes e jogadores. O mais preocupante é que as campanhas de malware foram observadas globalmente, afetando regiões como América do Norte, América do Sul, Europa, Ásia e Austrália.
O malware foi relatado pela primeira vez em março de 2024 (não confundir com o infame malware Luabot DDoS, detectado em 2016). Nos últimos meses, os métodos de entrega do malware evoluíram, tornando-se mais simples e, consequentemente, mais difíceis de detectar. Em vez de utilizar o bytecode Lua compilado, que facilmente levantaria suspeitas, o malware é agora distribuído por meio de scripts Lua ofuscados.
Distribuição via arquivos ZIP maliciosos
O malware geralmente é entregue na forma de instaladores ou arquivos ZIP disfarçados como ferramentas ou truques relacionados a jogos, atraindo especialmente estudantes que buscam melhorar sua experiência nos jogos. De acordo com um relatório técnico detalhado do Morphisec Threat Labs, compartilhado com o Hackread.com antes de sua publicação, quando um usuário baixa o arquivo infectado (geralmente de plataformas como o GitHub), ele encontra um arquivo ZIP contendo quatro componentes principais:
- Lua51.dll: Interpretador de tempo de execução para Lua.
- Compiler.exe: Um carregador leve.
- Script Lua ofuscado: O código malicioso.
- Launcher.bat: Um arquivo em lote que executa o script Lua.
Ao ser executado, o arquivo em lote aciona o Compiler.exe, que carrega o Lua51.dll e interpreta o script ofuscado. O malware então se comunica com um servidor de Comando e Controle (C2), enviando informações detalhadas sobre a máquina infectada. O servidor C2 responde com instruções, que podem ser divididas em duas categorias:
- Tarefas do Lua Loader: Ações como manter a persistência ou ocultar processos.
- Cargas úteis: Instruções para baixar e instalar novas cargas maliciosas.
Ataque direcionado a jogadores por meio de truques de jogos falsos
As técnicas de entrega também incluem envenenamento de SEO, onde os resultados de pesquisa são manipulados para direcionar os usuários a sites maliciosos. Exemplos incluem anúncios de mecanismos de cheats populares, como Solara e Electron, associados ao Roblox. Esses anúncios direcionam os usuários para repositórios no GitHub que hospedam variantes do malware Lua, frequentemente distribuídos via solicitações push no github.com/user-attachments.
Infostealers adicionais como Redline
A cadeia de infecção do malware Lua frequentemente resulta na instalação de infostealers, como o Redline. Essas ferramentas maliciosas, incluindo Vidar e Formbook, têm ganhado destaque, pois os dados coletados, como credenciais, são vendidos na dark web. Entre as informações mais visadas estão credenciais de plataformas como o ChatGPT, abrindo portas para ataques futuros.
Alerta para estudantes e jogadores
Estudantes, jogadores e instituições educacionais devem redobrar a cautela ao baixar softwares de fontes não confiáveis. Manter as soluções de segurança atualizadas e conscientizar os usuários sobre os riscos associados ao download de cheats e ferramentas não verificadas são medidas essenciais para mitigar esses ataques.