LofyStealer атакует игроков Minecraft: кража данных и обход защиты
LofyStealer — это сложная вредоносная кампания, обнаруженная в ходе threat hunting на платформе ANY.RUN. По данным отчета, вредоносная активность нацелена прежде всего на игроков Minecraft и распространяется под видом модификации с названием Slinky, эксплуатируя доверие молодой аудитории.
Исследователи связывают кампанию с экосистемой GrabBot/Slinky и с группировкой LofyGang, которая ранее уже была замечена в атаках на игровые сообщества, в том числе через JavaScript supply chain attacks. В отчете также отмечается, что использование бразильского португальского языка в комментариях к коду и шаблонах именования дополнительно поддерживает эту атрибуцию.
Двухэтапная архитектура: loader и native module
LofyStealer работает в два основных этапа. Сначала запускается крупный Node.js-based loader размером 53,5 MB под именем load.exe. Затем он активирует native module на C++ размером 1,4 MB — chromelevator.exe, который внедряется в browser processes жертвы.
Такая двухуровневая структура повышает устойчивость вредоносного ПО к обнаружению и усложняет его анализ. Loader дополнительно маскирует вредоносную природу за счет упаковки с большим количеством legitimate libraries, что затрудняет выявление на ранних этапах.
Связь с C2 и признаки активного распространения
Динамический анализ подтвердил, что load.exe устанавливает соединение с C2 по IP-адресу 24.152.36.241. Это указывает на активное использование инфраструктуры управления и контроля.
Среди ключевых компонентов loader исследователи выделяют:
- WS2_32.dll — используется для high-level network capabilities и связи с C2;
- KERNEL32.dll — предоставляет расширенные memory manipulation functions, облегчающие code injection techniques.
Кража данных из восьми браузеров
LofyStealer создан для масштабной кражи данных и ориентирован на восемь популярных web browsers. Вредоносное ПО извлекает пять типов конфиденциальной информации:
- cookies;
- passwords;
- tokens;
- credit card data;
- IBAN.
Для кражи данных вредонос использует как direct system calls, так и standard API. Такой подход позволяет реализовать технику process hollowing и обходить традиционные endpoint security tools.
Шифрование, упаковка и эксфильтрация
Для проверки целостности данных в цепочку обработки встроен SHA-256, что позволяет убедиться в подлинности информации, отправляемой на C2. Сам процесс exfiltration построен на использовании WinHTTP для защищенных C2-communications.
Собранные данные передаются в ZIP-файлах, закодированных в Base64. Кроме того, сформированный JSON packet, отправляемый на C2, включает:
- secret key для authentication;
- operational log;
- system identification data жертвы.
Антиотладка и уклонение от обнаружения
Анализ выявил и механизмы anti-debugging, и дополнительные техники evasion. Это указывает на высокий уровень зрелости вредоносной инфраструктуры и на попытки скрыть активность от средств обнаружения.
Эксперты отмечают, что сочетание loader, native payload, process injection, anti-analysis и защищенной C2-коммуникации делает LofyStealer нетипично сложным для кампании, ориентированной на игровую аудиторию.
Коммерциализация киберпреступности
Отдельное внимание в отчете уделяется тому, что LofyStealer демонстрируется как malware-as-a-service. Это отражает коммерциализацию вредоносной экосистемы и расширение модели монетизации киберпреступности, где кража учетных данных и платежной информации становится частью более широкого набора услуг для злоумышленников.
Вывод: LofyStealer — это не просто очередной stealer, а хорошо структурированная вредоносная кампания, использующая доверие игроков Minecraft, многослойную архитектуру и набор техник скрытности для масштабной кражи данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
