Una campagna globale di malware si rivolge ai giocatori online, in particolare a coloro che cercano trucchi per giochi come Roblox. Questo software dannoso, scritto in LUA, è mascherato da trucchi e distribuito con mezzi ingannevoli.
Malware Lua: sfruttare il desiderio di imbrogliare
Il richiamo dei vantaggi ingiusti nei giochi online è sfruttato dai criminali informatici. Stanno schierando malware con sede a LUA come trucchi, sfruttando la popolarità del linguaggio all'interno dei motori di gioco e la prevalenza delle comunità di imbroglioni.
Gli aggressori usano "avvelenamento da SEO" per far apparire i loro siti Web dannosi legittimi nei risultati di ricerca. Questi script imitano spesso i motori cheat legittimi come Solara ed Electron, spesso associati a Roblox. Le pubblicità false inducono ulteriormente gli utenti ignari.
La facilità d'uso e la prevalenza di Lua in vari giochi (tra cui Roblox, World of Warcraft e Angry Birds) contribuiscono all'efficacia del malware. Una volta eseguito, lo script dannoso si collega a un server di comando e controllo, potenzialmente abilitando il furto di dati, il keylogging e il compromesso del sistema completo.
roblox: un bersaglio primo
Roblox, con il suo ambiente di sviluppo del gioco con sede a Lua, è particolarmente vulnerabile. Nonostante le misure di sicurezza di Roblox, gli script dannosi sono incorporati all'interno di strumenti di terze parti e pacchetti falsi. Il pacchetto "Noblox.js-vps", ad esempio, è stato scaricato centinaia di volte prima di essere identificato come trasportando il malware Luna Grabber.
La facilità di creare e distribuire script dannosi all'interno dell'ecosistema di contenuti generati dall'utente di Roblox aggrava il rischio.
Mentre le conseguenze per gli imbroglioni potrebbero sembrare adatti ad alcuni, i rischi associati al download di script non attendibili superano di gran lunga eventuali vantaggi percepiti. Praticare una buona igiene digitale è fondamentale per evitare di diventare vittima di questo tipo di malware. Il vantaggio temporaneo guadagnato attraverso il imbrogli non vale la potenziale perdita di dati personali e sicurezza del sistema.
