Криминал загнал фейковый VPN на GitHub, распространяет вирусы

Эксперты по кибербезопасности предупредили: преступники начали использовать поддельные бесплатные VPN-программы, размещённые на платформе GitHub, чтобы заражать компьютеры вредоносным ПО. Отчёт компании Cyfirma описывает схему: вирус выдаёт себя за «Free VPN for PC», чтобы обмануть пользователей и заставить их скачать программу — но вместо защищённого соединения вы получаете сложный вредоносный загрузчик под названием Lumma Stealer.

Та же вредоносная программа маскировалась под инструмент «Minecraft Skin Changer», заманивая геймеров и любителей бесплатных фишек. Как только жертва запускает скачанную программу, она проходит через многоступенчатую атаку: скрывает свои действия (обфускация), динамически подгружает опасные библиотеки (DLL), внедряет вредоносный код прямо в память компьютера и использует легитимные утилиты Windows, такие как MSBuild.exe и aspnet_regiis.exe, чтобы остаться незамеченной.

Главная фишка атакующих — распространение через GitHub: в опасном репозитории размещались ZIP-архивы с паролем и подробной инструкцией, что выглядело совершенно легально. Внутри — вредонос с французским текстом и скрытый код, перекодированный в формат Base64. «Всё начинается с обмана — скачиваешь бесплатный VPN, а заканчивается тем, что Lumma Stealer крадёт данные под видом доверенного процесса Windows», — предупреждает Cyfirma.

При запуске файла Launch.exe начинается извлечение: программа декодирует Base64-строку и создаёт в скрытой папке пользователя DLL-файл msvcp110.dll. Он остаётся невидимым, подгружается только во время работы и через функцию GetGameData() запускает финальный этап заражения.

Анализировать вирус сложно из-за приёмов для противодействия отладчикам (например, проверка IsDebuggerPresent()) и запутанной логики работы. Атака строится на стратегиях MITRE ATT&CK — подмена DLL, избегание песочницы, исполнение кода прямо в памяти.

Как не попасться? Не скачивайте программы из сомнительных источников, особенно если обещают бесплатный VPN или модификацию для игры. Даже софт на уважаемых платформах — не гарантия безопасности. Особый риск — ZIP-файлы с паролем и подозрительные условия установки.

Никогда не запускайте исполняемые файлы из непроверенных источников, даже если они выглядят полезными. Отключайте возможность исполнения программ из папок типа AppData — чаще всего именно там прячутся вирусы. DLL-файлы в папках Roaming или Temp — тревожный сигнал, их стоит проверить.

Следите за подозрительной активностью файлов и задач — например, MSBuild.exe или других процессов, нехарактерных для вашей работы. Используйте современные антивирусы с поведенческим анализом, а не только классические сканеры; дополнительная защита от DDoS и атак на конечную точку закроет больше угроз — от внедрения в память до эксплуатации системных API.