Allarme sicurezza: malware camuffato da VPN colpisce tramite GitHub

Nel panorama digitale odierno, la ricerca di strumenti utili per la privacy personale e l’intrattenimento online sta diventando sempre più rischiosa. Un recente attacco informatico, sofisticato e mirato, ha preso di mira utenti desiderosi di soluzioni come una VPN gratuita e tool per videogiochi, sfruttando la reputazione di GitHub come piattaforma affidabile per la distribuzione di software.

La nuova minaccia, identificata come variante del famigerato Lumma Stealer, si cela dietro programmi apparentemente legittimi, ma in realtà progettati per compromettere la sicurezza degli utenti più attenti alla propria riservatezza e, in particolare, della community gamer.

La campagna malware in questione si distingue per la sua capacità di mimetizzarsi, presentandosi sotto forma di applicazioni utili e desiderate. Oltre alle già citate false VPN, sono stati individuati casi che riguardano editor di skin per Minecraft o altri strumenti legati al mondo dei videogiochi.

Una volta che l’utente scarica il file ZIP protetto da password da repository come github[.]com/SAMAIOEC, viene invitato a eseguire un file denominato Launch.exe. Questo avvia una sequenza di infezione particolarmente elaborata, pensata per sfuggire ai controlli dei software di sicurezza tradizionali e mettere in difficoltà anche gli utenti più esperti.

Finte VPN e tool per il gaming: ecco come Lumma Stealer torna a fare paura

Il cuore dell’attacco si basa su tecniche di offuscamento avanzate, tra cui la codifica Base64 e l’utilizzo di stringhe in lingua francese, elementi che complicano notevolmente l’analisi forense. Una volta avviato, il malware procede con il posizionamento di un DLL dannoso, ovvero msvcp110.dll, all’interno della cartella AppData.

Il DLL viene caricato dinamicamente e, tramite la funzione GetGameData(), permette l’iniezione in memoria del payload principale, evitando così di lasciare tracce evidenti sui dischi e aggirando molti sistemi di rilevamento automatico.

Per assicurarsi persistenza e invisibilità, la minaccia sfrutta strumenti nativi di Windows come MSBuild.exe e aspnet_regiis.exe, operando in background e mimetizzandosi tra i processi di sistema. Gli autori del malware hanno inoltre implementato numerose tecniche anti-analisi: dal controllo IsDebuggerPresent() alla confusione intenzionale del flusso di esecuzione, fino all’adozione di strategie documentate nel framework MITRE ATT&CK, come il DLL side-loading e l’evasione delle sandbox.

Per proteggersi da queste minacce, gli esperti raccomandano di evitare con fermezza il download di software non ufficiali, in particolare quelli che promettono servizi come VPN gratuite. È fondamentale non eseguire mai file provenienti da fonti non verificate, prestando particolare attenzione agli archivi ZIP protetti da password e a procedure di installazione poco trasparenti. Un ulteriore livello di sicurezza può essere garantito impedendo l’esecuzione automatica di file nelle cartelle AppData.

Sul fronte delle contromisure tecniche, si consiglia di controllare l’attività di processi come MSBuild.exe, che potrebbero indicare comportamenti anomali o tentativi di compromissione. È essenziale dotarsi di soluzioni antivirus avanzate, capaci di riconoscere pattern comportamentali sospetti e bloccare tecniche di iniezione in memoria. In ambienti aziendali o particolarmente esposti, l’adozione di sistemi di endpoint protection e DDoS protection risulta imprescindibile per identificare e bloccare tentativi di attacco sofisticati, proteggendo così sia i dati personali sia le infrastrutture critiche.