TokyoBlackHatNews

gbhackers.com 5分で読了

LofyStealerはNode.jsローダーとブラウザインジェクションを介してマインクラフトプレイヤーを標的にしています

Minecraftプレイヤーは「Slinky」という偽のハッキングツールで誘い込まれており、これはLofyStealer(GrabBotとしても追跡されている)と呼ばれる強力な情報窃取マルウェアを秘密裏にインストールします。このマルウェアはブラジルのサイバー犯罪グループLofyGangとリンクしています。

このマルウェアはNode.jsベースのローダーとメモリ内C++ペイロードを使用してブラウザデータを盗み、ブラジルでホストされているコマンド&コントロール(C2)サーバーに流出させます。

悪意のあるファイルはMinecraft「ハック」として「Slinky」という名前で宣伝されており、公式ゲームアイコン付きで、主に若いプレイヤーを騙して自発的に実行させます。実行されると、偽のチート機能は実際のゲーム内利点の代わりにLofyStealerを静かに展開します。

脅威研究者は公開提出でキャンペーンを最初に発見し、ANY.RUNサンドボックスで、24.152.36.241:8080への疑わしいバイナリおよびネットワーク接続がアクティブなC2インフラストラクチャを明らかにしました。

この情報窃取マルウェアはステルス性と柔軟性を設計した、モジュール型の2段階アーキテクチャに従います。まず、load.exeという大きな53.5 MBのローダーバイナリが実行されます。これは「pkg」ツールでパッケージされたNode.jsアプリケーションであり、完全なV8エンジン、OpenSSL、その他のライブラリをバンドルして、正当なランタイムに見せかけ、署名ベースの検出を回避します。

C2パネルとブラジルのインフラストラクチャ

このローダーは、その後、より小さな1.4 MBのネイティブC++ペイロードであるchromelevator.exeをブラウザプロセスに直接復号化して注入します。標準Windows APIの代わりに直接システムコールを使用して一般的なEDRフックをバイパスします。

Image

Chrome、Edge、Brave、Opera、Opera GX、Firefox、Avast Secure Browserなどのブラウザに注入されると、ペイロードはディスク上のフォレンジック痕跡を減らすためにメモリ内で完全に動作します。

クッキー、保存されたパスワード、セッショントークン、クレジットカード情報、さらにはIBAN(国際銀行口座番号)を含む機密データを、被害者のブラウザに保存されているものを体系的に標的にします。

収集されたデータは整理され、ZIPアーカイブに圧縮され、Base64エンコードされ、構造化されたJSON形式を通じて流出用に準備されます。

53.5 MBのバイナリには、完全なNode.jsランタイム(GoogleのV8エンジン、非同期I/O用のlibuv、暗号化用のOpenSSL、圧縮用のzlib、国際化用のICU、HTTPパース用のllhttp)と悪意のあるJavaScriptコードが含まれています。

Image

パネルは被害者監視、アカウント管理、キャンペーン概要、および新しい悪意のある実行可能ファイルを生成するためのビルダーなどの機能を公開し、Malware-as-a-Service(MaaS)モデルを確認します。

盗まれた情報はすべてHTTP POSTリクエストでC2サーバーに送信され、24.152.36.241のポート8080でホストされており、「LofyStealer、Advanced C2 Platform V2.0」というブランドのWebベースの管理パネルもホストしています。

C2はブラジルのホスティングプロバイダーが運営するインフラストラクチャで動作しており、LofyGangがブラジルを拠点とするグループであるという以前のレポートと一致しています。

.textセクションはファイル全体の98.4%を占め、エントロピーは7.84で、極めて高いです。このエントロピーは、注入ペイロードと復号化キーなどのインライン暗号化データの可能性と組み合わされたLTCG(Link-Time Code Generation)でのコンパイルを示しています。

Image

有毒なnpmパッケージから洗練されたMinecraftに焦点を当てたMaaSプラットフォームへの移行は、グループのより専門的で複数オペレーターの操作への進化を示しています。

研究者は、「LofyStealer」ブランディング、ブラジルのホスティング、ポルトガル語の成果物、およびDiscord、ゲーミング、ストリーミングアカウントの盗難に対するグループの長年の関心を引用して、このキャンペーンをLofyGangに高い信頼度で属性付けしています。

Minecraftプレイヤー、特にチートやクラックツールをダウンロードしている十代の若者にとって、これは単一の「ハック」ダウンロードが複数のサービス全体でブラウザに保存されている認証情報と財務データの完全な漏洩につながる可能性があることを意味します。

IOC

指標
C2のIP 24.152.36.241
アップロードエンドポイント /upload (HTTP POST)
時間エンドポイント /time (HTTP GET)
User-Agent GrabBot/1.0
Content-Type application/json
フォールバックプロトコル WebSocket
C2パネル http://24.152.36.241:8080 (LofyStealer V2.0)
プラットフォーム名 LofyStealer -Advanced C2 Platform V2.0

翻訳元: https://gbhackers.com/lofystealer-targets-minecraft-players/

ソース: gbhackers.com
#LofyGang #LofyStealer #Malware-as-a-Service #Minecraft #サイバー犯罪 #ブラウザ攻撃 #マルウェア #ローダー #情報窃取 #認証情報窃盗

関連記事

SLOTAGENT マルウェアがAPI呼び出しと文字列を隠して分析を回避

Vimeoがハッカーによるユーザーデータベースアクセス後のデータ漏洩を確認

CISAがWindows Shellゼロデイが攻撃で悪用されていることを警告