SmartLoader 惡意軟體,並進一步散播資訊竊取工具 Lumma Stealer。了解如何透過 AI 生成的假儲存庫欺騙用戶,並保護自己免受這類威脅。">

從 GitHub 到惡意軟體:AI 如何重塑網路犯罪

Trend Micro 的研究重點介紹了一項新的攻擊,網路犯罪分子利用人工智慧創建令人信服的假 GitHub 儲存庫。這些惡意儲存庫被用來傳播惡意軟體,特別是SmartLoader,進而傳播竊取資訊的 Lumma Stealer。攻擊者利用 GitHub 的信譽和 AI 生成的內容欺騙用戶下載偽裝成合法軟體的有害 ZIP 檔案。如果成功,這可能會導致認證 (Credential) 和加密貨幣錢包等敏感資訊被盜。這次攻擊代表了戰術的演變,從簡單的檔案附件轉變為複雜的、人工智慧輔助的儲存庫創建。該報告建議使用者和組織採取主動的安全措施來減輕這些不斷演變的威脅所帶來的風險。

從 GitHub 到惡意軟體:AI 如何重塑網路犯罪| 資訊安全新聞

攻擊概述:利用人工智慧獲取信任

Trend Micro 研究公司發現了一個複雜的網路犯罪攻擊,該攻擊利用 GitHub 的信譽來傳播SmartLoader 惡意軟體。然後使用該載入器傳送危險的 Lumma Stealer 資訊竊取程式以及其他潛在的惡意Payload。該攻擊利用人工智慧生成的內容創建看似合法的虛假儲存庫,欺騙用戶下載偽裝成遊戲作弊軟體、破解軟體和系統實用程式等流行工具的惡意軟體。

不斷演變的策略:從檔案託管到欺騙性存儲庫

此操作標誌著惡意軟體散布的演變,不再只是簡單的檔案託管 (File hosting),而是創建完整的(儘管具有欺騙性的)儲存庫。透過利用人工智慧產生令人信服的 README 檔案和文件,攻擊者增強了這些惡意儲存庫的表面真實性。這增加了毫無戒心的用戶信任和安裝所包含威脅的可能性。這些 README 檔案通常展示 AI 輔助的指標,例如過度使用表情符號、不自然的措辭、超連結標誌和結構化內容。通常,這些儲存庫主要包含一個 README 檔案,其中所有超連結都會重新導向到惡意 ZIP 檔案(例如,Release.zipSoftware.zip),這些檔案被策略性地隱藏在 Releases section 中。

技術解析:SmartLoader 散播機制

一旦用戶被誘騙下載並解壓縮這些 ZIP 檔案,他們就會在不知不覺中部署SmartLoader。 ZIP 檔案通常包含一個 LUAJIT 執行時間解釋器 (lua51.dll)、一個 Lua 載入器可執行檔 (luajit.exe)、一個惡意 Lua Script (userdata.txt) 以及一個專門用於執行惡意 Lua Script 的批次檔 (Launcher.bat)。雖然可執行檔和 DLL 檔案本身並不具有惡意,但批次檔的唯一目的是啟動 luajit.exe,進而執行包含真正惡意 Payload 的 Lua Script,該 Script 會危害受害者的系統。

攻擊調整:基礎設施與誘惑的轉變

這項策略是對先前SmartLoader 攻擊的改進。早期的案例(例如 2024 年 10 月詳述的案例)涉及透過嵌入在 ZIP 檔案中的混淆 Lua Script散播惡意軟體,這些 Script 通常作為檔案附件託管在 GitHub 上,並透過模仿合法軟體下載網站的虛假網頁進行引誘。目前的攻擊展示了託管策略向虛假儲存庫的 Release Session 轉變,以及依賴 AI 生成的儲存庫內容而不是虛假網頁的新誘餌機制。這種演變凸顯了攻擊者在繼續利用 GitHub 的信任狀態的同時逃避偵測的適應性。

Payload 散播:SmartLoader 釋放 Lumma Stealer

SmartLoader 在這次攻擊中的最終目標是傳播Lumma Stealer,這是一種透過惡意軟體即服務 (MaaS) 模型散播的資訊竊取器。執行後,SmartLoader 從 GitHub 取出檔案,將其中一個儲存為 search.exe,然後執行 LummaStealer。此過程涉及刪除必要的檔案並運行隱藏在 Excel 檔案中的加密 AutoIt Script。SmartLoader 能夠膨脹檔案以增加其大小並執行各種惡意攻擊,包括安全軟體發現。最終,LummaStealer 與 pasteflawwed[.]world命令和控制 (C&C 伺服器 建立通信,以竊取被盜日誌和敏感資訊。

Lumma Stealer 的影響:竊取敏感資訊

Lumma Stealer 的成功部署可能會對受害者造成嚴重後果。威脅行為者 (Threat actor) 可以竊取敏感資訊,例如加密貨幣錢包、雙因素認證 (2FA) 擴充功能、登入認證和其他個人識別資訊 (PII),可能導致身分盜竊和金融詐欺。外洩的資料也會被出售給其他網路犯罪分子,進一步增加風險。

不斷演變的威脅情勢:人工智慧降低了門檻

這項攻擊凸顯了網路犯罪分子利用人工智慧驅動的策略和 Lumma Stealer 等複雜惡意軟體來降低成功攻擊的障礙日益增長的趨勢。為了防禦此類威脅,Trend Micro為個人和組織推薦了幾種主動的最佳實踐:

  • 僅從官方來源下載軟體。避免使用提供免費或破解軟體的第三方網站、種子和未經驗證的儲存庫。
  • 驗證儲存庫的真實性。檢查合法貢獻者、儲存庫歷史記錄以及 AI 產生或可疑檔案的跡象。
  • 啟用安全功能。利用能夠偵測並阻止惡意下載的端點安全解決方案。
  • 執行之前分析檔案。在運行未知檔案之前,使用沙盒工具對其進行掃描。
  • 實施網路安全控制。封鎖已知的惡意 GitHub 儲存庫並限制來自未經驗證的來源的檔案下載。
  • 監視異常攻擊。使用安全資訊和事件管理 (SIEM) 工具來偵測未經授權的 Script 執行和異常的出站連線。
  • 對員工進行社會工程風險教育。進行安全意識培訓,以幫助防止成為虛假儲存庫的受害者。
  • 執行應用程式控制策略。採取措施防止未經授權的應用程式和 Script 的執行。

結論

總而言之,本報告揭示了一個嚴重且不斷演變的網路威脅,攻擊者利用人工智慧在 GitHub 等可信任平台上創建令人信服的虛假儲存庫,以散播複雜的惡意軟體,如SmartLoaderLumma Stealer。這種策略代表了惡意軟體傳遞方式的轉變,透過人工智慧產生的內容利用使用者信任並逃避傳統的偵測方法。透過這種方法部署像Lumma Stealer這樣的資訊竊取程序可能會導致嚴重後果,包括竊取敏感的個人和財務資料。因此,個人和組織都必須採取主動的安全措施,例如驗證軟體來源、使用安全工具和教育用戶,以有效減輕這些日益複雜和具有欺騙性的人工智慧輔助網路攻擊所帶來的風險。