Morphisec威胁实验室10月8日发布的研究报告显示,针对学生游戏玩家和教育机构的复杂Lua恶意软件及其变种正在流行,专门针对教育部门和游戏引擎。根据Morphisec的分析,Lua恶意软件是一个复杂且高效的攻击工具,它利用了各种方法绕过安全防护措施。其主要特点包括高度隐蔽性和利用网络协议进行命令与控制(C2)通信。该恶意软件通常通过社交工程手段传播,例如在恶意软件附带的电子邮件中诱骗用户下载和运行。Lua恶意软件的关键影响在于其针对特定应用程序和系统的能力,允许攻击者在受害者设备上执行任意代码,导致数据泄露和系统损坏。此外,该恶意软件还能通过内存中的持久化技术进行潜伏,进一步增强其存活能力,给检测和清除带来挑战。报告警告学生和游戏玩家,谨防成为信息窃取软件的受害者。
![娱乐和游戏成高风险:Lua恶意软件瞄准教育部门和学生游戏引擎]( "娱乐和游戏成高风险:Lua恶意软件瞄准教育部门和学生游戏引擎")
Morphisec威胁实验室的网络安全研究人员发现并挫败了专门针对教育部门的多种Lua恶意软件变种。这些攻击利用了基于Lua的游戏引擎补充程序的流行性,这些补充程序被学生游戏玩家广泛使用。更令人担忧的是,这些恶意软件活动被发现针对全球毫无戒心的用户,包括北美、南美、欧洲、亚洲和澳大利亚。
该恶意软件毒株于2024年3月首次被报告(不要将Lua恶意软件与2016年发现的臭名昭著的Luabot DDoS恶意软件混淆)。在过去几个月中,Lua恶意软件的传播方式变得更简单,可能是为了逃避检测机制。该恶意软件不再使用容易引起怀疑的编译后的Lua字节码,而是经常通过混淆的Lua脚本进行传播。
该恶意软件通常以安装程序或ZIP存档的形式分发,并经常伪装成游戏作弊软件或其他游戏相关工具,这对于正在寻求增强游戏体验的方法的学生来说特别有利可图。
根据Morphisec Threat Labs的详细技术博客文章,当用户下载受感染的文件时(通常从GitHub等平台下载),他们会收到一个包含四个关键组件的ZIP存档:Lua51.dll:Lua的运行时解释器、Compiler.exe:轻量级加载器、混淆的Lua脚本:恶意代码和Launcher.bat:执行Lua脚本的批处理文件。
执行后,批处理文件将运行Compiler.exe,它会加载Lua51.dll并解释经过混淆的Lua脚本。然后,此脚本会与命令和控制(C2)服务器建立通信,发送有关受感染机器的详细信息。C2服务器会通过任务进行响应,这些任务可分为两类:Lua加载器任务:维持持久性或隐藏进程等操作。任务有效载荷:下载和配置新有效载荷的说明。
![娱乐和游戏成高风险:Lua恶意软件瞄准教育部门和学生游戏引擎]( "娱乐和游戏成高风险:Lua恶意软件瞄准教育部门和学生游戏引擎")
这些攻击中使用的传播技术包括SEO投毒,即操纵搜索引擎结果以将用户引导至恶意网站。例如,人们发现,流行的作弊脚本引擎(如Solara和Electron,通常与Roblox有关)的广告会将用户引导至托管各种Lua恶意软件变体的GitHub存储库。这些存储库经常使用github.com/user-attachments推送请求来分发恶意软件。
感染链并不会随着Lua恶意软件感染而结束。恶意软件最终会导致信息窃取程序的部署,尤其是Redline信息窃取程序。供您参考,Redline、Vidar和Formbook等信息窃取程序越来越引人注目,因为收集到的凭证(尤其是ChatGPT凭证)在暗网上出售,为未来更多的攻击打开了大门。
![娱乐和游戏成高风险:Lua恶意软件瞄准教育部门和学生游戏引擎]( "娱乐和游戏成高风险:Lua恶意软件瞄准教育部门和学生游戏引擎")
SEO投毒实际行动(来自Morphisec威胁实验室)
Morphisec的调查认为,该恶意软件最终导致部署信息窃取程序,尤其是Redline信息窃取程序。信息窃取程序在业界越来越引人注目,因为从这些攻击中获取的凭证被出售给更复杂的团体,用于攻击的后期阶段。值得注意的是,Redline在暗网上有一个巨大的市场出售这些获取的凭证。
游戏玩家、教育机构和学生应警惕Lua和其他恶意软件威胁,一不当心就可能落入陷阱,安装了信息窃取恶意软件,成为隐蔽的受害者。游戏玩家应避免从不可信来源下载安装包、升级包,注册机等。保持安全软件更新并告知用户下载游戏作弊程序和未经验证的内容的网络安全风险有助于降低这些攻击的可能性。
1、https://blog.morphisec.com/threat-analysis-lua-malware
2、https://hackread.com/lua-malware-hit-student-gamers-fake-game-cheats/
原文始发于微信公众号(网空闲话plus):娱乐和游戏成高风险:Lua恶意软件瞄准教育部门和学生游戏引擎
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3244012.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论