Des criminels utilisent un faux VPN gratuit dangereux pour diffuser des malwares via GitHub

Des experts en cybersécurité ont mis en garde contre une nouvelle menace émergente impliquant un faux logiciel VPN hébergé sur GitHub.

Un rapport de Cyfirma explique comment un malware se fait passer pour un "VPN gratuit pour PC" afin d'inciter les utilisateurs à le télécharger. En réalité, il s'agit d'un dropper sophistiqué destiné à installer le Lumma Stealer.

Le même malware est également apparu sous le nom de "Minecraft Skin Changer", ciblant les joueurs et les utilisateurs occasionnels à la recherche d'outils gratuits.

Un malware sophistiqué se cache derrière un logiciel familier

Une fois exécuté, le dropper utilise une chaîne d'attaque en plusieurs étapes impliquant l'obfuscation, le chargement dynamique de DLL, l'injection en mémoire et l'abus d'outils Windows légitimes comme MSBuild.exe et aspnet_regiis.exe pour rester discret et persistant.

Le succès de cette campagne repose en grande partie sur l'utilisation de GitHub pour la distribution. Le dépôt github[.]com/SAMAIOEC hébergeait des fichiers ZIP protégés par mot de passe accompagnés d'instructions d'utilisation détaillées, donnant au malware une apparence légitime.

À l'intérieur, la charge utile est dissimulée avec du texte en français et encodée en Base64.

"Ce qui commence par un faux téléchargement de VPN gratuit se termine avec un Lumma Stealer injecté en mémoire opérant via des processus système de confiance", rapporte Cyfirma.

Lors de l'exécution, le fichier Launch.exe effectue un processus d'extraction sophistiqué, décodant et modifiant une chaîne encodée en Base64 pour déposer un fichier DLL, msvcp110.dll, dans le dossier AppData de l'utilisateur.

Cette DLL reste dissimulée. Elle est chargée dynamiquement pendant l'exécution et appelle une fonction, GetGameData(), pour déclencher la dernière phase de la charge utile.

L'ingénierie inverse du logiciel est rendue difficile par des stratégies anti-débogage telles que les vérifications IsDebuggerPresent() et l'obfuscation du flux de contrôle.

Cette attaque utilise des techniques issues du cadre MITRE ATT&CK, comme le chargement latéral de DLL, l'évasion des bacs à sable et l'exécution en mémoire.

Comment rester en sécurité

Pour se protéger contre ce type d'attaque, les utilisateurs doivent éviter les logiciels non officiels, en particulier ceux présentés comme un VPN gratuit ou un mod de jeu.

Le risque est accru lorsqu'on exécute des programmes inconnus issus de dépôts, même s'ils sont hébergés sur des plateformes réputées.

Les fichiers téléchargés depuis GitHub ou des plateformes similaires ne doivent jamais être considérés comme sûrs par défaut, surtout s'ils sont dans des archives ZIP protégées par mot de passe ou comportent des instructions d'installation obscures.

Ne jamais exécuter de fichiers exécutables provenant de sources non vérifiées, même si l'outil semble utile.

Activez une protection supplémentaire en désactivant l'exécution de fichiers depuis des dossiers comme AppData, souvent utilisés par les attaquants pour cacher leurs charges malveillantes.

En outre, les fichiers DLL trouvés dans les dossiers Roaming ou Temp doivent être signalés pour enquête.

Soyez attentif à toute activité de fichier inhabituelle sur votre ordinateur, et surveillez MSBuild.exe et d'autres tâches dans le gestionnaire de tâches ou via des outils système, pour détecter les infections précoces.

D'un point de vue technique, utilisez un antivirus basé sur l'analyse comportementale, plutôt que de vous fier uniquement aux scans traditionnels. Utilisez également des outils offrant une protection DDoS et une protection des terminaux, afin de couvrir un large éventail de menaces, notamment l'injection en mémoire, la création de processus furtifs et l'abus d'API.

Cette page contient des liens d'affiliation. Si vous effectuez un achat via ces liens, nous pourrions recevoir une commission, sans coût supplémentaire pour vous. Merci de votre soutien !