【安全圈】巴西 LofyGang 團(tuán)伙沉寂三年后卷土重來，發(fā)起 Minecraft LofyStealer 竊取器活動

關(guān)鍵詞

黑客攻擊

一個源自巴西的網(wǎng)絡(luò)犯罪團(tuán)伙在沉寂三年多后卷土重來，策劃了一場針對 Minecraft 玩家的活動，使用名為LofyStealer（又名 GrabBot）的新型竊取器。

巴西網(wǎng)絡(luò)安全公司 ZenoX 在一份技術(shù)報告中表示：“該惡意軟件偽裝成一個名為‘Slinky’的 Minecraft 外掛。它使用官方游戲圖標(biāo)誘導(dǎo)用戶自愿執(zhí)行，利用了游戲場景中年輕用戶的信任。”

該活動被高度確信地歸因于一個名為LofyGang的威脅行為者。該團(tuán)伙曾在 2022 年被觀察到利用 npm 注冊表中的拼寫錯誤包（typosquatted packages）推送竊取器惡意軟件，其具體目的是竊取與 Discord Nitro、游戲和流媒體服務(wù)相關(guān)的信用卡數(shù)據(jù)和用戶賬戶。

據(jù)信該團(tuán)伙自 2021 年底開始活躍，在 GitHub 和 YouTube 等平臺上宣傳其工具和服務(wù)，同時還以 DyPolarLofy 的別名參與地下黑客社區(qū)，泄露了數(shù)千個 Disney+ 和 Minecraft 賬戶。

ZenoX 聯(lián)合創(chuàng)始人兼威脅情報主管 Acassio Silva 告訴 The Hacker News：“自 2022 年以來，Minecraft 一直是 LofyGang 的目標(biāo)。他們曾以 DyPolarLofy 的別名在 Cracked.io 上泄露了數(shù)千個 Minecraft 賬戶。當(dāng)前的活動則通過一個名為‘Slinky’的虛假外掛直接針對 Minecraft 玩家。”

攻擊始于一個 Minecraft 外掛，當(dāng)啟動時，會觸發(fā)一個 JavaScript 加載器的執(zhí)行，該加載器最終負(fù)責(zé)在受感染主機(jī)上部署 LofyStealer（“chromelevator.exe”），并直接在內(nèi)存中執(zhí)行，旨在竊取多種網(wǎng)絡(luò)瀏覽器中的廣泛敏感數(shù)據(jù)，包括 Google Chrome、Chrome Beta、Microsoft Edge、Brave、Opera、Opera GX、Mozilla Firefox 和 Avast Browser。

竊取的數(shù)據(jù)（包括 cookie、密碼、令牌、銀行卡和國際銀行賬號）被外泄到位于 24.152.36[.]241 的命令與控制服務(wù)器。

ZenoX 表示：“從歷史上看，該團(tuán)伙的主要攻擊向量是 JavaScript 供應(yīng)鏈：NPM 包拼寫錯誤攻擊、星標(biāo)劫持（虛假引用合法的 GitHub 倉庫以提升可信度），以及嵌入在子依賴項中的載荷以規(guī)避檢測。其重點是 Discord 令牌竊取、為攔截信用卡而修改 Discord 客戶端，以及通過濫用合法服務(wù)（Discord、Repl.it、Glitch、GitHub 和 Heroku）作為 C2 進(jìn)行數(shù)據(jù)外泄。”

最新進(jìn)展標(biāo)志著該團(tuán)伙與以往觀察到的攻擊手法不同，轉(zhuǎn)向了惡意軟件即服務(wù)模式，提供免費和付費層級，并使用一個名為 Slinky Cracked 的定制構(gòu)建器作為竊取器惡意軟件的傳播載體。

這一披露正值威脅行為者越來越多地濫用 GitHub 等平臺的信譽(yù)，托管虛假倉庫作為惡意軟件家族的誘餌，如 SmartLoader、StealC Stealer 和 Vidar Stealer。毫無戒心的用戶通過 SEO 投毒等技術(shù)被引導(dǎo)至這些倉庫。

在某些案例中，攻擊者被發(fā)現(xiàn)通過 Reddit 帖子傳播 Vidar 2.0，這些帖子宣傳虛假的《反恐精英 2》游戲外掛，將受害者重定向到一個惡意網(wǎng)站，該網(wǎng)站會提供包含惡意軟件的 ZIP 壓縮包。

Acronis 在上個月發(fā)布的分析報告中指出：“這次信息竊取器活動突顯了一個持續(xù)存在的安全挑戰(zhàn)：被廣泛信任的平臺被濫用于分發(fā)惡意載荷。通過利用社會信任和常見的下載渠道，威脅行為者通常能夠繞過傳統(tǒng)安全解決方案。”

這些發(fā)現(xiàn)為最近幾個月利用 GitHub 的活動清單增添了新內(nèi)容：

1. 直接在 GitHub 內(nèi)針對開發(fā)者

   ：通過 Discussions 發(fā)布虛假的 Microsoft Visual Studio Code 安全警報，誘使用戶點擊鏈接安裝惡意軟件。Socket 表示：“由于 GitHub Discussions 會向參與者和關(guān)注者觸發(fā)電子郵件通知，這些帖子也會直接發(fā)送到開發(fā)者的收件箱。這擴(kuò)大了活動的影響范圍，使其警報看起來更加可信。”

2. 針對阿根廷司法系統(tǒng)

   ：使用魚叉式釣魚郵件分發(fā)壓縮的 ZIP 壓縮包，其中包含一個中間批處理腳本，用于檢索托管在 GitHub 上的遠(yuǎn)程訪問木馬。

3. 創(chuàng)建 GitHub 賬戶和 OAuth 應(yīng)用程序

   ：然后創(chuàng)建一個提及目標(biāo)開發(fā)者的問題，觸發(fā)電子郵件通知，進(jìn)而誘騙他們授權(quán) OAuth 應(yīng)用程序，使攻擊者能夠獲取其訪問令牌。這些問題旨在制造虛假的緊迫感，警告用戶存在異常訪問嘗試。

4. 使用欺詐性 GitHub 倉庫

   ：分發(fā)偽裝成合法 IT 和安全軟件的惡意批處理腳本安裝程序，導(dǎo)致部署 TookPS 下載器，然后啟動多階段感染鏈，使用 SSH 反向隧道和 RAT（如 MineBridge RAT，又名 TeviRAT）建立持久遠(yuǎn)程訪問。該活動被歸因于 Rift Brigantine（又名 FIN11、Graceful Spider 和 TA505）。

5. 使用假冒的 GitHub 倉庫

   ：偽裝成 AI 工具、游戲外掛、Roblox 腳本、電話號碼定位追蹤器和 VPN 破解工具，分發(fā) LuaJIT 載荷，這些載荷作為通用木馬，是名為 TroyDen's Lure Factory 活動的一部分。

Netskope 表示：“誘餌工廠的廣度——游戲外掛、開發(fā)者工具、電話追蹤器、Roblox 腳本、VPN 破解工具——表明攻擊者正在針對不同受眾優(yōu)化數(shù)量而非精準(zhǔn)打擊。防御者應(yīng)將任何托管在 GitHub 上的、將重命名的解釋器與不透明數(shù)據(jù)文件配對的下載視為高優(yōu)先級排查對象，無論其周圍的倉庫看起來多么合法。”

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！