Nel mondo del gaming, la ricerca di trucchi per giochi è una pratica comune tra i giocatori appassionati che cercano di ottenere vantaggi sui loro avversari. Tuttavia, questa ricerca può spesso condurre a rischi significativi per la sicurezza. Recentemente, molti giocatori sono stati ingannati a scaricare malware basato su Lua attraverso falsi motori di script per trucchi. Questo tipo di attacco sfrutta la popolarità dei supplementi per motori di gioco Lua, molto diffusi tra la comunità dei giocatori più giovani. Secondo una ricerca di Morphisec, questo malware è particolarmente diffuso in Nord e Sud America, Europa, Asia e Australia.

Distribuzione del malware

La campagna è stata inizialmente documentata da OALabs nel marzo 2024, quando gli utenti venivano indotti a scaricare un caricatore di malware scritto in Lua sfruttando una vulnerabilità su GitHub per diffondere payload dannosi. McAfee Labs ha successivamente analizzato la tecnica, evidenziando come i malintenzionati utilizzassero archivi ZIP contenenti il malware ospitati su repository Microsoft legittimi. In risposta, GitHub ha disabilitato account e contenuti che violavano le sue politiche di utilizzo accettabile, che proibiscono la pubblicazione di contenuti che supportano direttamente attacchi illegali o campagne di malware.

Morphisec ha inoltre rilevato un cambiamento nel meccanismo di distribuzione del malware, una semplificazione che sembra un tentativo di passare inosservati. Il malware è spesso distribuito utilizzando script Lua offuscati invece di bytecode Lua compilato, poiché quest'ultimo può facilmente destare sospetti. Tuttavia, la catena di infezione rimane invariata: gli utenti che cercano motori di script per trucchi popolari come Solara ed Electron su Google vengono indirizzati a siti web falsi che contengono link a archivi ZIP infetti su vari repository GitHub.

Componenti del malware

L'archivio ZIP include quattro componenti: un compilatore Lua, una DLL interprete runtime Lua ("lua51.dll"), uno script Lua offuscato e un file batch ("launcher.bat"), che esegue lo script Lua tramite il compilatore Lua. Nella fase successiva, lo script Lua stabilisce comunicazioni con un server di comando e controllo (C2), inviando dettagli sul sistema infetto. Il server risponde con compiti che mantengono la persistenza, nascondono processi o scaricano nuovi payload come Redone Stealer o CypherIT Loader.

Impatto e conseguenze

Gli infostealer stanno guadagnando rilevanza nel panorama delle minacce poiché le credenziali raccolte vengono vendute a gruppi più sofisticati per fasi successive di attacco. RedLine, in particolare, ha un grande mercato nel Dark Web per la vendita di queste credenziali. Questo scenario dimostra come la ricerca di vantaggi nei giochi possa mettere a rischio la sicurezza dei dati personali, richiedendo maggiore consapevolezza e attenzione da parte degli utenti.