Nel mondo videoludico non mancano quasi mai i trucchi, che possono rivelarsi utili per avanzare in un gioco senza troppa fatica od ottenere oggetti che sarebbero rarissimi da avere a inizio partita. Ed è proprio la popolarità dei trucchi che sta venendo sfruttata dagli hacker hanno tratto in inganno numerosi giocatori inserendo nel loro codice in Lua un pericoloso malware.
Hacker diffondono malware con codici in Lua
Questa campagna criminale è stata scoperta per la prima volta nel marzo 2024 da OALabs e poi studiato da McAfee Labs e Morphenic, che hanno rivelato informazioni dettagliate su questi attacchi e su come essi abbiano di fatto cambiato le carte in tavola sulla diffusione di questi attacchi. Il ricercatore di Morphisec Shmuel Uzan ha spiegato che questi attacchi sono così diffusi perché gli hacker sfruttano la popolarità dell’engine Lua nella comunità dei giocatori. Loro condividono il malware con script Lua offuscati, che destano molti meno sospetti dei bytecode Lua.
Il malware è diffuso in Nord America, Sud America, Europa, Asia e Australia, con la maggior parte degli attacchi segnalati nei seguenti paesi: Russia, Biellorussia, India, Uzbekistan, Kazakhstan, Germania, Algeria, Repubblica Ceca, Mozambico e Turchia.
I giocatori che cercano quindi siti di trucchi come Solara ed Electron potrebbe trovare dei siti fasulli in cui sarebbero contenuti link a cartelle ZIP malevoli su GitHub. Le cartelle ZIP hanno quattro componenti: un compilatore in Lua, un DLL per interpretare il runtime di LUA (“lua51.dll”), uno script Lua offuscato e un file batch (“launcher.bat”) che serve per far partire lo script di Lua con il compilatore.
Una volta aperto, il codice malevolo entra in contatto con un server command-and-control (C2) e manda dettagli riguardo i sistemi infetti. In risposta, il server ordina delle azioni responsabili per il mantenimento della persistenza e per nascondere i processi, oppure scarica il malware infostealer Redone Stealer o CypherIT.
Uzan ha spiegato che gli infostealer si stanno diffondendo a vista d’occhio, e le informazioni rubate con essi vengono venduti ad altri gruppi di hacker che entrano in gioco in fasi più avanzate dell’attacco. Tra questi, RedLine gode di una grande fama nel dark web per la vendita delle credenziali rubate.
Ma a questi sventurati giocatori non vengono soltanto inviati gli infostealer, ma persino miner di criptovalute opensource come SilentCriptoMiner. I malware sono poi distribuiti persino tramite canali Telegram e video di YouTube.
