【安全圈】巴西 LofyGang 團(tuán)伙沉寂三年后卷土重來(lái)，發(fā)起 Minecraft LofyStealer 竊取器活動(dòng)

關(guān)鍵詞

黑客攻擊

一個(gè)源自巴西的網(wǎng)絡(luò)犯罪團(tuán)伙在沉寂三年多后卷土重來(lái)，策劃了一場(chǎng)針對(duì) Minecraft 玩家的活動(dòng)，使用名為LofyStealer（又名 GrabBot）的新型竊取器。

巴西網(wǎng)絡(luò)安全公司 ZenoX 在一份技術(shù)報(bào)告中表示：“該惡意軟件偽裝成一個(gè)名為‘Slinky’的 Minecraft 外掛。它使用官方游戲圖標(biāo)誘導(dǎo)用戶自愿執(zhí)行，利用了游戲場(chǎng)景中年輕用戶的信任。”

該活動(dòng)被高度確信地歸因于一個(gè)名為LofyGang的威脅行為者。該團(tuán)伙曾在 2022 年被觀察到利用 npm 注冊(cè)表中的拼寫錯(cuò)誤包（typosquatted packages）推送竊取器惡意軟件，其具體目的是竊取與 Discord Nitro、游戲和流媒體服務(wù)相關(guān)的信用卡數(shù)據(jù)和用戶賬戶。

據(jù)信該團(tuán)伙自 2021 年底開始活躍，在 GitHub 和 YouTube 等平臺(tái)上宣傳其工具和服務(wù)，同時(shí)還以 DyPolarLofy 的別名參與地下黑客社區(qū)，泄露了數(shù)千個(gè) Disney+ 和 Minecraft 賬戶。

ZenoX 聯(lián)合創(chuàng)始人兼威脅情報(bào)主管 Acassio Silva 告訴 The Hacker News：“自 2022 年以來(lái)，Minecraft 一直是 LofyGang 的目標(biāo)。他們?cè)?DyPolarLofy 的別名在 Cracked.io 上泄露了數(shù)千個(gè) Minecraft 賬戶。當(dāng)前的活動(dòng)則通過(guò)一個(gè)名為‘Slinky’的虛假外掛直接針對(duì) Minecraft 玩家。”

攻擊始于一個(gè) Minecraft 外掛，當(dāng)啟動(dòng)時(shí)，會(huì)觸發(fā)一個(gè) JavaScript 加載器的執(zhí)行，該加載器最終負(fù)責(zé)在受感染主機(jī)上部署 LofyStealer（“chromelevator.exe”），并直接在內(nèi)存中執(zhí)行，旨在竊取多種網(wǎng)絡(luò)瀏覽器中的廣泛敏感數(shù)據(jù)，包括 Google Chrome、Chrome Beta、Microsoft Edge、Brave、Opera、Opera GX、Mozilla Firefox 和 Avast Browser。

竊取的數(shù)據(jù)（包括 cookie、密碼、令牌、銀行卡和國(guó)際銀行賬號(hào)）被外泄到位于 24.152.36[.]241 的命令與控制服務(wù)器。

ZenoX 表示：“從歷史上看，該團(tuán)伙的主要攻擊向量是 JavaScript 供應(yīng)鏈：NPM 包拼寫錯(cuò)誤攻擊、星標(biāo)劫持（虛假引用合法的 GitHub 倉(cāng)庫(kù)以提升可信度），以及嵌入在子依賴項(xiàng)中的載荷以規(guī)避檢測(cè)。其重點(diǎn)是 Discord 令牌竊取、為攔截信用卡而修改 Discord 客戶端，以及通過(guò)濫用合法服務(wù)（Discord、Repl.it、Glitch、GitHub 和 Heroku）作為 C2 進(jìn)行數(shù)據(jù)外泄。”

最新進(jìn)展標(biāo)志著該團(tuán)伙與以往觀察到的攻擊手法不同，轉(zhuǎn)向了惡意軟件即服務(wù)模式，提供免費(fèi)和付費(fèi)層級(jí)，并使用一個(gè)名為 Slinky Cracked 的定制構(gòu)建器作為竊取器惡意軟件的傳播載體。

這一披露正值威脅行為者越來(lái)越多地濫用 GitHub 等平臺(tái)的信譽(yù)，托管虛假倉(cāng)庫(kù)作為惡意軟件家族的誘餌，如 SmartLoader、StealC Stealer 和 Vidar Stealer。毫無(wú)戒心的用戶通過(guò) SEO 投毒等技術(shù)被引導(dǎo)至這些倉(cāng)庫(kù)。

在某些案例中，攻擊者被發(fā)現(xiàn)通過(guò) Reddit 帖子傳播 Vidar 2.0，這些帖子宣傳虛假的《反恐精英 2》游戲外掛，將受害者重定向到一個(gè)惡意網(wǎng)站，該網(wǎng)站會(huì)提供包含惡意軟件的 ZIP 壓縮包。

Acronis 在上個(gè)月發(fā)布的分析報(bào)告中指出：“這次信息竊取器活動(dòng)突顯了一個(gè)持續(xù)存在的安全挑戰(zhàn)：被廣泛信任的平臺(tái)被濫用于分發(fā)惡意載荷。通過(guò)利用社會(huì)信任和常見的下載渠道，威脅行為者通常能夠繞過(guò)傳統(tǒng)安全解決方案。”

這些發(fā)現(xiàn)為最近幾個(gè)月利用 GitHub 的活動(dòng)清單增添了新內(nèi)容：

1. 直接在 GitHub 內(nèi)針對(duì)開發(fā)者

   ：通過(guò) Discussions 發(fā)布虛假的 Microsoft Visual Studio Code 安全警報(bào)，誘使用戶點(diǎn)擊鏈接安裝惡意軟件。Socket 表示：“由于 GitHub Discussions 會(huì)向參與者和關(guān)注者觸發(fā)電子郵件通知，這些帖子也會(huì)直接發(fā)送到開發(fā)者的收件箱。這擴(kuò)大了活動(dòng)的影響范圍，使其警報(bào)看起來(lái)更加可信。”

2. 針對(duì)阿根廷司法系統(tǒng)

   ：使用魚叉式釣魚郵件分發(fā)壓縮的 ZIP 壓縮包，其中包含一個(gè)中間批處理腳本，用于檢索托管在 GitHub 上的遠(yuǎn)程訪問(wèn)木馬。

3. 創(chuàng)建 GitHub 賬戶和 OAuth 應(yīng)用程序

   ：然后創(chuàng)建一個(gè)提及目標(biāo)開發(fā)者的問(wèn)題，觸發(fā)電子郵件通知，進(jìn)而誘騙他們授權(quán) OAuth 應(yīng)用程序，使攻擊者能夠獲取其訪問(wèn)令牌。這些問(wèn)題旨在制造虛假的緊迫感，警告用戶存在異常訪問(wèn)嘗試。

4. 使用欺詐性 GitHub 倉(cāng)庫(kù)

   ：分發(fā)偽裝成合法 IT 和安全軟件的惡意批處理腳本安裝程序，導(dǎo)致部署 TookPS 下載器，然后啟動(dòng)多階段感染鏈，使用 SSH 反向隧道和 RAT（如 MineBridge RAT，又名 TeviRAT）建立持久遠(yuǎn)程訪問(wèn)。該活動(dòng)被歸因于 Rift Brigantine（又名 FIN11、Graceful Spider 和 TA505）。

5. 使用假冒的 GitHub 倉(cāng)庫(kù)

   ：偽裝成 AI 工具、游戲外掛、Roblox 腳本、電話號(hào)碼定位追蹤器和 VPN 破解工具，分發(fā) LuaJIT 載荷，這些載荷作為通用木馬，是名為 TroyDen's Lure Factory 活動(dòng)的一部分。

Netskope 表示：“誘餌工廠的廣度——游戲外掛、開發(fā)者工具、電話追蹤器、Roblox 腳本、VPN 破解工具——表明攻擊者正在針對(duì)不同受眾優(yōu)化數(shù)量而非精準(zhǔn)打擊。防御者應(yīng)將任何托管在 GitHub 上的、將重命名的解釋器與不透明數(shù)據(jù)文件配對(duì)的下載視為高優(yōu)先級(jí)排查對(duì)象，無(wú)論其周圍的倉(cāng)庫(kù)看起來(lái)多么合法。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！