長年、サイバー犯罪のアンダーグラウンドは、ある種の予測可能性のもとに運営されてきた。グループは足場を固め、常套手段を開発し、そしてしばしば、姿を消すか、ブランド名を変更する。だからこそ、サプライチェーン攻撃とデータ窃盗で悪名高いブラジルのLofyGangが、3年間の沈黙を経て再浮上したとき、多くの者は、タイポスクワッティングされたnpmパッケージや、それに類する不可解なデジタル路地といった、馴染み深い狩場への回帰を予想しただろう。しかし、その予想は完全に打ち砕かれたのだ。
古い手口を繰り返すのではなく、LofyGangは鋭く方向転換し、巨大で、しばしば若いMinecraftプレイヤー層を、LofyStealerと名付けられた新しいマルウェアで直接標的とするキャンペーンを開始した。これは単なるマイナーチェンジではない。市場の力学とユーザー心理を深く理解していることを示唆する、戦略的な大改造だ。彼らは、最も効果的な道筋は、技術的に最も複雑なものではなく、最もソーシャルエンジニアリングされたものであることを学んだのだ。
『Slinky』という名の騙し討ち
ブラジルのサイバーセキュリティ企業ZenoXがこのオペレーションを警戒した。マルウェアは『Slinky』という名のMinecraftハックを装っているという。これは偶然ではない。公式のゲームアイコンを使うことで、単に悪意のあるコードを隠すのではなく、信頼を武器にしているのだ。多くの若いゲーマーにとって、ゲーム内での優位性の魅力は注意を上回る。LofyGangはまさにそこを突いている。これは、デジタルに精通してはいるものの、本物の脅威と魅力的なデジタルショートカットを見分ける成熟度に欠ける可能性のある層の脆弱性を突く、大規模ソーシャルエンジニアリングの典型例だ。
2021年末から活動しているとされるこのグループには、過去がある。2022年にはnpmレジストリでのタイポスクワッティングパッケージを悪用し、Discord Nitro、ゲームプラットフォーム、ストリーミングサービスなどのクレジットカード情報やユーザーアカウントを盗もうとしていたことが確認されている。また、GitHubやYouTubeなどのプラットフォームでも活動し、DyPolarLofyという別名でアンダーグラウンドなハッキングコミュニティに貢献し、数千件のDisney+とMinecraftのアカウントをリークしたこともある。今回のキャンペーンがMinecraftで初めての試みというわけではない。以前からの関心の延長線上にあるのだ。
ZenoXの共同創設者であり、脅威インテリジェンスの責任者であるAcassio Silvaは、この継続性を強調した。「Minecraftは2022年からLofyGangの標的だった」と彼は述べ、DyPolarLofyという名前でCracked.ioにリークされた数千件のMinecraftアカウントについても言及した。しかし、現在のキャンペーンは、偽の『Slinky』ハックでプレイヤーを直接狙うという、明確な進化形だ。これは広範なインフラストラクチャの侵害というよりは、集中的かつ高ボリュームな攻撃に重点を置いている。
サプライチェーンからマルウェア・アズ・ア・サービスへ
この再浮上を特に注目に値するものにしているのは、ビジネスモデルの進化だ。歴史的に、LofyGangの主な攻撃ベクトルは、JavaScriptサプライチェーンだった。これには、NPMパッケージのタイポスクワッティング、GitHubでのスタージャッキング(偽の参照でリポジトリの信頼性を高める)、そして検出を回避するためのサブ依存関係へのペイロード埋め込みが含まれる。彼らの焦点は、Discordトークンの窃盗、クレジットカード傍受のためのクライアント改変、そしてDiscord、Repl.it、Glitch、GitHub、Herokuのような正当なサービスをコマンド&コントロール(C2)インフラストラクチャとして悪用し、Webフック経由でのデータ流出だった。
今回の展開は、それとは大きく異なる。グループは現在、マルウェア・アズ・ア・サービス(MaaS)モデルへと移行しつつある。これは単にアクセスを販売するのではなく、無料オプションとプレミアムオプションの両方を提供する、階層化されたサービスだ。これに加えて、『Slinky Cracked』と呼ばれるカスタムビルダーが登場し、これがStealerマルウェアの配信車両として機能している。これは極めて重要な戦略的転換だ。ビルダーと階層化されたサービスを提供することで、彼らは他の志望するサイバー犯罪者にとって参入障壁を下げ、自らすべての攻撃を実行する必要なしに、そのリーチと影響力を効果的に増幅させているのだ。
GitHubの賭けと信頼の赤字
この方向転換は、攻撃者がGitHubのようなプラットフォームをますます悪用するという、より広範なトレンドと一致している。GitHubは、SmartLoader、StealC Stealer、Vidar Stealerのようなマルウェアファミリーをダウンロードさせるための、偽のリポジトリをホストする場所として定着している。SEOポイズニングのような手法は、無邪気なユーザーをこれらの欺瞞的なサイトに誘導する。私たちは様々な形でこのパターンを見てきた。VS Codeの偽のセキュリティアラート、GitHubでホストされたRATに誘導するスピアフィッシングメール、さらには開発者を騙してアカウントへのアクセスを許可させる悪意のあるOAuthアプリケーションまで。
「この情報窃盗キャンペーンは、広く信頼されているプラットフォームが悪意のあるペイロードを配布するために悪用されるという、継続的なセキュリティ課題を浮き彫りにしている。」
Acronisは、この根深い問題を正確に要約している。「ソーシャルトラストと一般的なダウンロードチャネルを利用することで、攻撃者はしばしば従来のセキュリティソリューションを回避することができる。」LofyGangの現在の戦略は、人気のゲーム環境内での直接的なソーシャルエンジニアリングアプローチと相まって、その典型例だ。彼らは技術的な脆弱性だけでなく、信頼がしばしば当然視されるデジタル空間によって増幅された、人間の脆弱性を悪用しているのだ。
Minecraftプレイヤーにとってなぜ重要なのか
Minecraftに親しむ何百万人もの人々にとって、これはリスクの増大を意味する。マルウェアが実行されると、LofyStealer(『chromelevator.exe』と偽装されている)が展開され、メモリ上で直接実行される。その目的は、Chrome、Edge、Brave、Opera、Firefox、さらにはAvast Browserといった複数のウェブブラウザにわたる、広範な機密データを収集することだ。これには、Cookie、パスワード、トークン、クレジットカード情報、国際銀行口座番号(IBAN)などが含まれ、これらすべてが24.152.36[.]241にあるC2サーバーに流出する。ID盗難と金融詐欺の可能性は甚大だ。
LofyGangの復帰は、サプライチェーン攻撃から直接的なソーシャルエンジニアリングとMaaSモデルへの顕著な戦略的シフトを特徴としており、サイバー犯罪の状況のダイナミックで予測不可能な性質を強調している。かつては一つの攻撃タイプで知られていたグループが、今やより適応性が高く、潜在的により危険な実体となったのだ。彼らに対して伝統的なシグネチャベースの検出にのみ依存する時代は終わった。彼らの進化する戦術を理解することが、今や最重要事項だ。
🧬 関連インサイト
- もっと読む: [10 Threats] A Week in Security: Fake Claude Malware to Killer Robots
- もっと読む: Multi-OS Attacks Hit 65% of Breaches—SOCs’ 3-Step Fix
よくある質問
LofyStealerとは何ですか? LofyStealerは、ブラジルのサイバー犯罪グループLofyGangによって開発された新しいマルウェアです。侵害されたコンピューターから、ブラウザのCookie、パスワード、金融情報などの機密データを盗むように設計されています。
LofyStealerはどのように拡散しますか? LofyStealerは、『Slinky』という偽のMinecraftハックを通じて配布されています。マルウェアは公式のゲームアイコンを使用して、無邪気なユーザーに自発的に実行させるように騙します。
LofyStealerはどのようなデータを盗みますか? このマルウェアは、さまざまなウェブブラウザから、ブラウザのCookie、パスワード、セキュリティトークン、クレジットカード情報、国際銀行口座番号(IBAN)など、幅広い機密情報を標的にします。
