Inyectan Malware En Cheats Atacando A Motores De Videojuegos Basados En Lua
Usuarios descargan trampas para videojuegos y terminan siendo víctimas de un malware basado en Lua; el cual tiene el objetivo de persistir en el sistema y comunicarse con servidores de comando y control (C2) del atacante, enviando la información del dispositivo, con diferentes objetivos, como por ejemplo la minería de criptomonedas.
Los ataques con objetivos de extraer información y obtener acceso a los sistemas de las víctimas son cada vez más frecuentes y están teniendo impacto a nivel mundial gracias a este nuevo malware que comenzó a propagarse a mediados de 2024 se está extendiendo rápidamente por todo el mundo, afectando principalmente a los usuarios de la comunidad gamer.
Lua es un lenguaje de programación multiparadigma que fue diseñado para diferentes propósitos, y es ampliamente utilizado para scripts en videojuegos. Pues bien, este malware afecta a estos motores de videojuegos basados en Lua, siendo uno de los principales juegos Roblox, que tiene un público más jóven y generalmente inexperta en el ámbito de la ciberseguridad, siendo víctimas potenciales de ataques de este tipo.
El script suele ser descargado como un fichero ZIP, que incluye un compilador de Lua, un intérprete en tiempo de ejecución, un script ofuscado y además un fichero por lotes que contiene el código malicioso. Este archivo por lotes, que actualmente utiliza scripts de Lua planos para permitir flexibilidad y ejecución dinámica, está ofuscado normalmente con Prometheus, y el malware emplea detección de línea para evitar la ingeniería inversa, lanzando errores de manera intencional en el momento que el código es modificado.
El compilador ejecuta el script, y el objetivo suele ser conectarse a un servidor de comando y control (C2), el cual envía tareas para manipular el sistema y gestionar las cargas. Además, se hace uso de la librería ffi, que sirve para ejecutar código C desde Lua, permitiendo así el uso de funciones nativas de Windows, como por ejemplo SHGetFolderPathW para acceder a rutas de carpetas, RegCreateKeyExW para manipular los registros o WinExec para ejecutar programas. También se utiliza mutex (mutual exclusion), un mecanismo utilizado para controlar el acceso de múltiples procesos o hilos a un recurso compartido, así pudiendo sincronizar y mantener la persistencia en el dispositivo, también recopilando información del sistema infectado, además, comunicándose con el servidor C2 si ocurren interrupciones o bloqueos, siendo así un malware flexible que busca alternativas para no ser eliminado. Algo más que realizan los atacantes, es aparentar ser fiable aplicando técnicas SEO y anuncios, haciéndose pasar por scripts de trampas para Roblox, como Electron o Solara, conduciendo estos anuncios y enlaces a repositorios de GitHub que contienen el malware.
Es importante ser prudente a la hora de descargar herramientas de terceros, pues si bien es cierto que puede ser tentador el uso de trampas en un videojuego y puede picar la curiosidad de los usuarios, en jóvenes y personas más inexpertas en la ciberseguridad puede ser peligroso, ya que después de todo, estos scripts suelen ser bastante permisivos y puedes estar dando acceso a tus datos y a la par apoderarse de los recursos de tu equipo.
Más información:
- Gamers Tricked Into Downloading Lua-Based malware via Fake Cheating Script Engines https://thehackernews.com/2024/10/gamers-tricked-into-downloading-lua.html
- Lua Malware Targeting Students and the Gaming Community https://cyberpress.org/games-lua-malware/
- Not All Fun and Games: Lua Malware Targets Educational Sector and Student Gaming Engines https://blog.morphisec.com/threat-analysis-lua-malware
- Lua malware uses game cheats to target gamers https://izoologic.com/industry/gaming/lua-malware-uses-game-cheats-to-target-gamers
- Lua Game Engines https://gamefromscratch.com/lua-game-engines
- Category:Lua (programming language)-scripted video games https://en.m.wikipedia.org/wiki/Category:Lua_(programming_language)-scripted_video_games
Via: unaaldia.hispasec.com