Criminales utilizan una falsa VPN gratuita peligrosa para distribuir malware a través de GitHub

Expertos en ciberseguridad han advertido sobre una nueva amenaza emergente que implica un software VPN falso alojado en GitHub.

Un informe de Cyfirma explica cómo un malware se hace pasar por una "VPN gratis para PC" para engañar a los usuarios y hacer que lo descarguen. En realidad, se trata de un dropper sofisticado diseñado para instalar Lumma Stealer.

El mismo malware también ha aparecido bajo el nombre de "Minecraft Skin Changer", dirigido a jugadores y usuarios ocasionales que buscan herramientas gratuitas.

Un malware sofisticado se oculta tras un software familiar

Una vez ejecutado, el dropper utiliza una cadena de ataque en múltiples etapas que incluye ofuscación, carga dinámica de DLL, inyección en memoria y el uso indebido de herramientas legítimas de Windows como MSBuild.exe y aspnet_regiis.exe para mantenerse discreto y persistente.

El éxito de esta campaña se basa en gran parte en el uso de GitHub para su distribución. El repositorio github[.]com/SAMAIOEC alojaba archivos ZIP protegidos por contraseña junto con instrucciones de uso detalladas, dando al malware una apariencia legítima.

En su interior, la carga útil está oculta con texto en francés y codificada en Base64.

"Lo que comienza con una descarga falsa de una VPN gratuita termina con un Lumma Stealer inyectado en la memoria operando a través de procesos del sistema de confianza", informa Cyfirma.

Durante su ejecución, el archivo Launch.exe lleva a cabo un proceso de extracción sofisticado, decodificando y modificando una cadena codificada en Base64 para depositar un archivo DLL, msvcp110.dll, en la carpeta AppData del usuario.

Esta DLL permanece oculta. Se carga dinámicamente durante la ejecución y llama a una función, GetGameData(), para activar la fase final de la carga útil.

La ingeniería inversa del software se complica por estrategias anti-depuración como las comprobaciones IsDebuggerPresent() y la ofuscación del flujo de control.

Este ataque emplea técnicas del marco MITRE ATT&CK, como la carga lateral de DLL, la evasión de entornos sandbox y la ejecución en memoria.

Cómo mantenerse seguro

Para protegerse de este tipo de ataques, los usuarios deben evitar los softwares no oficiales, especialmente aquellos que se presentan como VPN gratuitas o mods de juegos.

El riesgo aumenta al ejecutar programas desconocidos provenientes de repositorios, incluso si están alojados en plataformas de buena reputación.

Los archivos descargados desde GitHub u otras plataformas similares nunca deben considerarse seguros por defecto, especialmente si vienen en archivos ZIP protegidos con contraseña o contienen instrucciones de instalación poco claras.

Nunca se deben ejecutar archivos ejecutables provenientes de fuentes no verificadas, aunque la herramienta parezca útil.

Active una protección adicional deshabilitando la ejecución de archivos desde carpetas como AppData, que son utilizadas con frecuencia por atacantes para ocultar cargas maliciosas.

Además, los archivos DLL encontrados en carpetas como Roaming o Temp deben ser reportados para su investigación.

Esté atento a cualquier actividad inusual de archivos en su computadora, y monitoree MSBuild.exe y otras tareas en el administrador de tareas o mediante herramientas del sistema para detectar infecciones tempranas.

Desde un punto de vista técnico, utilice un antivirus basado en análisis de comportamiento, en lugar de depender únicamente de escaneos tradicionales. También use herramientas que ofrezcan protección contra DDoS y protección de endpoints, para cubrir un amplio espectro de amenazas, como la inyección en memoria, la creación de procesos furtivos y el abuso de APIs.

Esta página contiene enlaces de afiliados. Si realizas una compra a través de estos enlaces, es posible que recibamos una comisión, sin costo adicional para ti. ¡Gracias por tu apoyo!