Cybercriminelen verspreiden malware via nep-VPN’s en Minecraft-mods op GitHub: zo bescherm je jezelf

Beveiligingsexperts waarschuwen voor een nieuwe en zorgwekkende cyberdreiging waarbij nepsoftware, vermomd als gratis VPN-tools of Minecraft-mods, wordt gebruikt om kwaadaardige software te verspreiden via GitHub.

Nep-VPN’s en “Minecraft Skin Changers” zijn besmet

Volgens recente analyses verspreiden criminelen malware die zich voordoet als een legitieme “Free VPN for PC”. De software lijkt betrouwbaar, compleet met installatie-instructies en een nette presentatie, maar in werkelijkheid is het een geavanceerde 'dropper' die uiteindelijk de Lumma Stealer-malware op je systeem installeert. Ook gamers worden actief misleid, met besmette bestanden die zich voordoen als “Minecraft Skin Changer”.

Slimme malwaretechnieken en misbruik van legitieme Windows-onderdelen

Na installatie voert de kwaadaardige software een meerfasige aanval uit. Deze maakt gebruik van technieken zoals obfuscatie (het verbergen van de werking van de code), dynamisch laden van DLL-bestanden, injectie in het werkgeheugen, en misbruik van legitieme Windows-componenten zoals MSBuild.exe en aspnet_regiis.exe. Hierdoor blijft de malware grotendeels onder de radar van traditionele virusscanners en systeemwaarschuwingen.

Een bestand genaamd Launch.exe activeert het proces. Deze voert een Base64-decoderingsstap uit op versleutelde gegevens die in het Frans zijn gecodeerd. Daarna wordt een kwaadaardig DLL-bestand, msvcp110.dll, heimelijk geplaatst in de AppData-map van de gebruiker. Tijdens het draaien van het programma wordt deze DLL dynamisch geladen en roept het een functie aan met de naam GetGameData(), die uiteindelijk het daadwerkelijke schadelijke gedeelte activeert.

De malware maakt het lastig om te analyseren en te detecteren door anti-debugging technieken zoals IsDebuggerPresent(), samen met versluiering van de controleflow in de code.

Bekende aanvalstechnieken

De gebruikte aanvalsmethoden sluiten aan bij tactieken uit het MITRE ATT&CK-framework, waaronder:

• DLL side-loading

• Sandbox-ontwijking

• Uitvoering in geheugen (in-memory execution)

Hoe blijf je veilig?

Om jezelf te beschermen tegen deze en vergelijkbare bedreigingen, is het belangrijk onderstaande veiligheidsmaatregelen serieus te nemen:

1. Vermijd software uit onofficiële bronnen
   Download geen programma’s die via vage websites of GitHub worden aangeboden onder het mom van “gratis VPN” of “game tools”. De belofte van gratis functionaliteit maakt gebruikers juist kwetsbaar.

2. Wees extra alert bij ZIP-bestanden en onduidelijke installatie-instructies
   Criminelen gebruiken vaak met een wachtwoord beveiligde ZIP-archieven om detectie te omzeilen. Bestanden met onduidelijke namen of vreemde installatiestappen zijn verdacht.

3. Laat nooit zomaar software draaien vanuit de AppData-map
   Veel malware probeert zich te verstoppen in AppData. Schakel de mogelijkheid om vanaf daar .exe-bestanden uit te voeren uit via groepsbeleid of beveiligingssoftware.

4. Controleer verdachte DLL-bestanden
   Als er DLL-bestanden opduiken in tijdelijke of roaming-mappen, verdient dat nader onderzoek.

5. Let op vreemde processen in Taakbeheer
   Als je processen zoals MSBuild.exe of aspnet_regiis.exe actief ziet zonder logische reden, is dat een alarmsignaal.

6. Gebruik geavanceerde beveiligingstools
   Vertrouw niet alleen op traditionele antivirussoftware. Gebruik beveiligingspakketten die gedragsanalyse toepassen, geheugeninspectie uitvoeren en bescherming bieden tegen technieken zoals API-misbruik en stealth-processen.

7. Blijf op de hoogte en train jezelf
   Herken de tekenen van social engineering en leer hoe aanvallers te werk gaan. Kwaadaardige software is vaak verpakt in iets dat “te mooi lijkt om waar te zijn”.

Zelfs een ogenschijnlijk eenvoudige download van een gratis VPN of een Minecraft-tool kan leiden tot een ernstige malware-infectie. Wees altijd kritisch op wat je installeert, vooral als het afkomstig is van GitHub of andere open platforms. Bescherm jezelf met moderne beveiligingstools, en wees voorbereid — want de bedreigingen worden steeds slimmer.

Door: Drifter