CYFIRMAは2025年7月9日(現地時間)、「GitHub Abused to Spread Malware Disguised as Free VPN - CYFIRMA」において、GitHubを悪用してマルウェアを配布するキャンペーンに関する分析レポートを公開した。

レポートでは、無料VPNアプリおよびゲームツールに偽装した高度な技術を駆使するマルウェアドロッパーについて詳細な分析を行っている。

  • GitHub Abused to Spread Malware Disguised as Free VPN - CYFIRMA

    GitHub Abused to Spread Malware Disguised as Free VPN - CYFIRMA

侵害経路

CYFIRMAはGitHubユーザー「SAMAIOEC」が作成したリポジトリ「free-vpn-for-pc」および「minecraft-skin」について分析を実施。前者は無料VPNツールとして、後者はゲーム「Minecraft」のツールとして同一のマルウェアドロッパーを配布したとされる。

  • 脅威アクターのGitHubページ(写真は本人でない可能性があるため隠しています)

    脅威アクターのGitHubページ(写真は本人でない可能性があるため隠しています)

レポートによると攻撃者は検出を避けるために、パスワード保護されたアーカイブファイルとしてマルウェアドロッパーを配布したという。アーカイブファイルには実行可能ファイル「Launch.exe」が含まれており、実行すると同ファイル内に埋め込まれたDLL(Dynamic Link Library)が保存され、メモリに動的ロードされることになる。

DLLファイルは拡張子「.dqq」として一度保存した後に「.dll」にリネームされる。また、隠し属性を付けることでセキュリティソリューションおよびユーザーの目視による検出を回避する。

ロードされたDLLファイルは分析を妨害した後、正規の実行可能ファイル「MSBuild.exe」または「aspnet_regiis.exe」などをロードしてプロセスインジェクションを実行する。このプロセスインジェクション時に注入されるペイロードが情報窃取マルウェア「Lumma Stealer」本体とされる。

対策

パスワード保護されたアーカイブファイルには注意することが推奨される。パスワードを公開している場合、アクセス制限の意図はなく、セキュリティソリューションの検出回避が目的と推定することができる。

CYFIRMAは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)およびMITRE ATT&CKを公開している。また、キャンペーンで使用されたマルウェアドロッパーを検出するYARAルールを公開しており、セキュリティ対策に活用することが望まれている。