{"id":1393894,"date":"2024-10-08T20:33:35","date_gmt":"2024-10-08T20:33:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-jugadores-fueron-enganados-para-descargar-malware-basado-en-lua-a-traves-de-motores-de-script-de-trampa-falsos\/"},"modified":"2024-10-08T20:33:40","modified_gmt":"2024-10-08T20:33:40","slug":"los-jugadores-fueron-enganados-para-descargar-malware-basado-en-lua-a-traves-de-motores-de-script-de-trampa-falsos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-jugadores-fueron-enganados-para-descargar-malware-basado-en-lua-a-traves-de-motores-de-script-de-trampa-falsos\/","title":{"rendered":"Los jugadores fueron enga\u00f1ados para descargar malware basado en Lua a trav\u00e9s de motores de script de trampa falsos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 de octubre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware\/Cibercrimen<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se est\u00e1 enga\u00f1ando a los usuarios que buscan trucos para juegos para que descarguen un malware basado en Lua que es capaz de establecer persistencia en sistemas infectados y entregar cargas \u00fatiles adicionales.<\/p>\n

“Estos ataques aprovechan la popularidad de los complementos del motor de juegos Lua dentro de la comunidad de estudiantes y jugadores”, dijo el investigador de Morphisec Shmuel Uzan. dicho<\/a> en un nuevo informe publicado hoy, se agrega que “esta cepa de malware tiene una gran prevalencia en Am\u00e9rica del Norte, Am\u00e9rica del Sur, Europa, Asia e incluso Australia”.<\/p>\n

OALabs document\u00f3 por primera vez los detalles sobre la campa\u00f1a en marzo de 2024, en la que los usuarios fueron atra\u00eddos a descargar un cargador de malware escrito en Lua explotando una peculiaridad en GitHub para organizar cargas \u00fatiles maliciosas.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

McAfee Labs, en un an\u00e1lisis posterior, detall\u00f3 el uso de la misma t\u00e9cnica por parte de los actores de amenazas para ofrecer una variante del ladr\u00f3n de informaci\u00f3n RedLine al alojar los archivos ZIP que contienen malware dentro de repositorios leg\u00edtimos de Microsoft.<\/p>\n

“Deshabilitamos las cuentas de usuario y el contenido de acuerdo con las Pol\u00edticas de uso aceptable de GitHub, que proh\u00edben publicar contenido que respalde directamente ataques activos ilegales o campa\u00f1as de malware que est\u00e9n causando da\u00f1os t\u00e9cnicos”, dijo GitHub a The Hacker News en ese momento.<\/p>\n

\"Malware<\/a><\/div>\n

“Continuamos invirtiendo en mejorar la seguridad de GitHub y nuestros usuarios, y estamos buscando medidas para protegernos mejor contra esta actividad”.<\/p>\n

El an\u00e1lisis de la actividad realizado por Morphisec ha descubierto un cambio en el mecanismo de entrega de malware, una simplificaci\u00f3n que probablemente sea un intento de pasar desapercibida.<\/p>\n

“El malware se entrega con frecuencia utilizando scripts Lua ofuscados en lugar de c\u00f3digos de bytes Lua compilados, ya que este \u00faltimo puede generar sospechas m\u00e1s f\u00e1cilmente”, dijo Uzan.<\/p>\n

Dicho esto, la cadena de infecci\u00f3n general permanece sin cambios en el sentido de que los usuarios que buscan motores de scripts de trampa populares como Solara y Electron en Google reciben sitios web falsos que incorporan enlaces a archivos ZIP con trampas explosivas en varios repositorios de GitHub.<\/p>\n

El archivo ZIP viene con cuatro componentes: un compilador de Lua, una DLL de int\u00e9rprete de tiempo de ejecuci\u00f3n de Lua (“lua51.dll”), un script de Lua ofuscado y un archivo por lotes (“launcher.bat”), el \u00faltimo de los cuales se utiliza para ejecutar el script Lua usando el compilador Lua.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

En la siguiente etapa, el cargador (es decir, el script Lua malicioso) establece comunicaciones con un servidor de comando y control (C2) y env\u00eda detalles sobre el sistema infectado. El servidor, en respuesta, emite tareas que son responsables de mantener la persistencia u ocultar procesos, o descargar nuevas cargas \u00fatiles como Redone Stealer o CypherIT Loader.<\/p>\n

“Los ladrones de informaci\u00f3n est\u00e1n ganando importancia en el panorama a medida que las credenciales obtenidas de estos ataques se venden a grupos m\u00e1s sofisticados para ser utilizados en etapas posteriores del ataque”, dijo Uzan. “En particular, RedLine tiene un enorme mercado en la Dark Web vendiendo estas credenciales recolectadas”.<\/p>\n

\"Motores<\/a><\/div>\n

La divulgaci\u00f3n se produce d\u00edas despu\u00e9s de que Kaspersky informara que los usuarios que buscan versiones pirateadas de software popular en Yandex est\u00e1n siendo atacados como parte de una campa\u00f1a dise\u00f1ada para distribuir un minero de criptomonedas de c\u00f3digo abierto llamado SilencioCryptoMiner<\/a> mediante un implante binario compilado por AutoIt.<\/p>\n

La mayor\u00eda de los ataques se dirigieron a usuarios de Rusia, seguidos de Bielorrusia, India, Uzbekist\u00e1n, Kazajst\u00e1n, Alemania, Argelia, Rep\u00fablica Checa, Mozambique y Turqu\u00eda.<\/p>\n

“El malware tambi\u00e9n se distribuy\u00f3 a trav\u00e9s de canales de Telegram dirigidos a inversores en criptomonedas y en descripciones y comentarios en v\u00eddeos de YouTube sobre criptomonedas, trampas y juegos de azar”, dijo la empresa. dicho<\/a> en un informe la semana pasada.<\/p>\n

“Aunque el objetivo principal de los atacantes es obtener ganancias extrayendo criptomonedas de forma sigilosa, algunas variantes del malware pueden realizar actividades maliciosas adicionales, como reemplazar carteras de criptomonedas en el portapapeles y tomar capturas de pantalla”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n