ANY.RUNインタラクティブサンドボックスプラットフォームを利用するサイバーセキュリティの脅威ハンターが、ゲームコミュニティを標的にした活動中の情報盗難キャンペーンを発見しました。
LofyStealerと特定され、GrabBotとしても追跡されているマルウェアは、「Slinky」という名前のMinecraftハックに偽装しています。
公式ゲームアイコンを使用することで、攻撃者は若いゲーマーにファイルを自発的に実行させるよう仕向けます。このキャンペーンはブラジルのサイバー犯罪グループLofyGangの復帰を示しており、彼らの技術能力と運用体制の大幅なアップグレードを強調しています。
マルウェアは高度に回避的な、2段階のモジュラーアーキテクチャを使用しています。最初の段階は、load.exeという名前の巨大な53.5 MBのローダーファイルです。
このファイルは、スタンドアロンアプリケーションにパッケージ化された完全なNode.jsランタイム環境です。
悪意あるJavaScriptを何千もの正規のシステムライブラリと一緒にバンドルすることで、攻撃者は悪意あるシグネチャを希釈し、多くの自動セキュリティサンドボックスが処理するには大きすぎるファイルを作成します。
実行中、ローダーは標準的なWindowsネットワーキングライブラリを積極的に使用して、攻撃者のサーバーとの接続を確立します。
ローダーが実行されると、chromelevator.exeという名前の1.4 MBの高度に精密なネイティブC++ペイロードである2段階目を復号化します。
ローダーはこのペイロードをシステムメモリに直接注入します。エンドポイント検出と応答ツールをトリガーすることを避けるため、ペイロードはWindowsカーネルへの直接システムコールを使用し、標準的な監視フックをバイパスします。
データを収集した後、マルウェアは隠されたPowerShellコマンドを使用してファイルをZIPアーカイブに圧縮します。アーカイブはSHA-256暗号化で保護され、エンコードされ、攻撃者のサーバーに静かに送信されます。
このキャンペーンは、2021年以来活動している脅威グループLofyGangの専門的な進化を強調しています。
このグループは元々、オープンソースの開発者パッケージに悪意あるコードを配置してDiscordとストリーミングアカウントを盗むことで評判を構築しました。現在、彼らは運用全体をMalware-as-a-Serviceプラットフォームに変換しています。
このプラットフォームにより、複数のサイバー犯罪オペレーターが被害者をリアルタイムで監視し、カスタム実行ファイルを生成することができます。サービスは無料と有料の層の両方で提供されており、成熟したビジネスモデルを示しています。
LofyStealerキャンペーンは、ゲームコミュニティが直面する増大する危険を示しています。脅威アクターは、メモリインジェクションやNode.jsバンドリングなどのエンタープライズグレードの回避技術を利用して、保護されていない個人用コンピューターを攻撃しています。
セキュリティディフェンダーは、既知のサーバーインフラストラクチャに向けられたネットワークトラフィックを監視し、エンドポイント上の予期しないNode.jsまたは隠されたPowerShell実行を監査する必要があります。
翻訳元: https://cyberpress.org/lofystealer-targets-minecraft-gamers/
