AI生成虚假GitHub仓库传播SmartLoader与LummaStealer恶意软件

本文揭露了利用AI生成虚假GitHub仓库传播SmartLoader加载器及LummaStealer信息窃取器的攻击活动。详细分析了恶意Lua脚本混淆技术、攻击链流程及网络通信特征,并提供了防护建议与威胁狩猎查询。

AI辅助虚假GitHub仓库推动SmartLoader和LummaStealer分发

活动概述

趋势科技研究团队发现一项利用虚假GitHub仓库分发SmartLoader的攻击活动,该加载器随后用于投放Lumma Stealer及其他恶意载荷。这些仓库将恶意软件伪装成游戏作弊工具、破解软件和系统工具以欺骗用户。

攻击活动利用GitHub的受信任声誉规避检测,通过AI生成内容使虚假仓库显得合法。恶意ZIP文件包含经过混淆的Lua脚本,在解压时执行有害载荷。

若攻击成功,威胁行为者可窃取敏感信息,如加密货币钱包、双因素认证(2FA)扩展、登录凭证及其他个人身份信息(PII),可能导致身份盗窃和金融欺诈。

网络犯罪分子正从使用GitHub文件附件转向创建完整仓库,结合社会工程策略和AI辅助欺骗手段。

技术分析

初始诱饵

与以往SmartLoader活动的异同

2024年10月发布的一篇博客文章分析了使用恶意Lua脚本及其他恶意软件组件的技术。该研究详细分解了Lua脚本,包括其反混淆过程及预期行为。

以下是其关键发现摘要:

  • 恶意软件通过嵌入ZIP存档中的混淆Lua脚本分发。
  • 批处理文件触发Compiler.exe,加载lua51.dll并执行恶意脚本。
  • 加载器连接至命令与控制(C&C)服务器以接收并执行任务。
  • 使用Prometheus Obfuscator和ffi库阻碍分析并保护代码完整性。
  • 通过计划任务建立持久性,同时收集系统信息。
  • 执行命令以规避安全防御、下载载荷并维持持久性。
  • 部署CypherIT Loader/Crypter和Redline,后者是著名的信息窃取器,在暗网市场活跃销售窃取的凭证。

此外,另一份报告详细介绍了相关活动,遵循相同策略,但以Lumma Stealer作为载荷。两项活动均采用相同技术并通过SmartLoader交付。

SmartLoader至Lumma Stealer

在常规执行过程中,加载器提供LummaStealer恶意软件作为最终载荷。它从GitHub检索文件,保存为search.exe,随后执行LummaStealer。此可执行文件丢弃必要文件并运行隐藏在Excel文件中的加密AutoIt脚本。

SmartLoader能够在加载载荷时膨胀文件,将文件大小增加至约1GB。IOC部分还包括从以下GitHub链接下载的编码文本文件(l.txt和lmd.txt)的哈希值。

检索并执行下载文件后,它将启动一系列命令,创建并执行附加文件,为LummaStealer载荷搭建舞台。它将执行恶意行为,如在%TEMP%文件夹中创建恶意文件、连接成一个批处理脚本并执行它:

1

cmd /c copy /bc..\Entertaining.xls + ..\Divide.xls + ..\Providence.xls + ..\Shakespeare.xls + ..\Adolescent.xls + ..\Divided.xls + ..\Unnecessary.xls + ..\Karma.xls

它还将通过findstr执行多个安全软件发现命令,如:

1
2

findstr /I "opssvc wrsa"
findstr "AvastUI AVGUI bdservicehost nsWscSvc ekrn SophosHealth"

从批处理脚本中,它将在%TEMP%文件夹中创建另一个名为“Research.com”的文件,这是一个错误命名的AutoIT解释器。最后,在联系其C&C服务器之前,它将使用以下命令执行浏览器调试:

1

"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --profile-directory="Default" --remote-debugging-port=9222

最终,LummaStealer联系其C&C服务器pasteflawwed[.]world。此通信通道用于 exfiltrate 从受感染系统收集的日志和其他敏感信息。

缓解与建议

为防御SmartLoader及类似恶意软件活动,个人和组织应考虑以下最佳实践:

  • 仅从官方来源下载软件:避免第三方网站、种子和提供免费或破解软件的仓库。
  • 验证仓库真实性:检查合法贡献者、仓库历史及AI生成或可疑文档的迹象。
  • 启用安全功能:使用端点安全解决方案检测并阻止恶意下载。
  • 执行前分析文件:使用沙盒工具在运行未知文件前进行扫描。
  • 实施网络安全控制:阻止已知恶意GitHub仓库并限制从未经验证来源下载文件。
  • 监控异常活动:使用安全信息和事件管理工具检测未经授权的脚本执行和异常出站连接。
  • 教育员工社会工程风险:进行安全意识培训,防止员工受骗于虚假仓库。
  • 强制执行应用程序控制策略:应用措施防止未经授权的应用程序和脚本执行。

通过遵循这些最佳实践,用户和企业均可降低成为利用GitHub等受信任平台的恶意软件活动受害者的风险。网络犯罪分子将持续适应,但主动安全方法将有助于缓解这些不断演变的威胁。

威胁狩猎查询

Trend Vision One客户可使用搜索应用匹配或狩猎本博文中提到的恶意指标,利用其环境中的数据。

LummaStealer连接C&C服务器:

1

eventSubId:301 AND processFilePath:Research.com AND hostName:pasteflawded.world

更多狩猎查询可供具有威胁情报权益的Trend Vision One客户使用。

结论

持续利用虚假GitHub仓库分发SmartLoader和Lumma Stealer的活动突出了网络犯罪分子不断演变的策略。通过滥用GitHub的受信任声誉,攻击者利用社会工程技术和AI生成内容诱骗受害者下载恶意文件。从传统GitHub文件附件转向完整仓库展示了他们在规避检测和维持操作弹性方面的适应性。

随着网络威胁持续演变,组织和个人用户必须对此类欺骗性策略保持警惕。此活动强调了验证软件来源的重要性,尤其是在处理开源平台时。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次