В киберпреступном подполье царила определенная предсказуемость. Группировки занимали свои позиции, вырабатывали modus operandi, а затем либо растворялись в неизвестности, либо меняли облик. Поэтому, когда LofyGang, печально известная бразильская организация, специализирующаяся на атаках на цепочки поставок и краже данных, появилась вновь после трех лет молчания, логично было ожидать возвращения к привычным охотничьим угодьям: typosquatted npm-пакетам или аналогичным цифровым закоулкам. Однако эти ожидания были полностью разрушены.
Вместо того чтобы повторять старые трюки, LofyGang резко сменила курс, запустив кампанию, нацеленную непосредственно на огромную и часто юную аудиторию игроков Minecraft с новым вредоносным ПО под названием LofyStealer. Это не просто мелкая доработка; это стратегический пересмотр, свидетельствующий о глубоком понимании рыночной динамики и психологии пользователей. Они усвоили: иногда самый эффективный путь — не самый технически сложный, а наиболее основанный на социальной инженерии.
«Slinky»: Ловушка с подменой
Бразильская фирма по кибербезопасности ZenoX подняла тревогу, отметив, что вредоносное ПО маскируется под чит для Minecraft под названием ‘Slinky’. Это не случайность. Используя официальную иконку игры, они не просто прячут вредоносный код; они превращают доверие в оружие. Для многих юных геймеров соблазн внутриигрового преимущества перевешивает осторожность, и LofyGang именно на этом и играет. Это классический пример социальной инженерии в масштабе, эксплуатирующий уязвимости аудитории, которая, будучи подкованной в цифровом мире, может не обладать достаточной зрелостью, чтобы отличить реальные угрозы от заманчивых цифровых сокращений.
Группировка, предположительно активная с конца 2021 года, имеет свою историю. В 2022 году они были замечены в использовании typosquatted пакетов в npm-реестре с целью кражи данных кредитных карт и учетных записей для таких сервисов, как Discord Nitro, игровые платформы и стриминговые сервисы. Они также были активны на платформах вроде GitHub и YouTube, даже участвовали в подпольных хакерских сообществах под псевдонимом DyPolarLofy, где слили тысячи аккаунтов Disney+ и Minecraft. Нынешняя кампания — не их первый опыт с Minecraft; это эскалация прежнего интереса.
Акасио Силва, соучредитель и глава отдела аналитики угроз в ZenoX, подчеркнул эту преемственность: «Minecraft был целью LofyGang с 2022 года». Он также упомянул утечку тысяч аккаунтов Minecraft под псевдонимом DyPolarLofy на Cracked.io. Однако текущая кампания представляет собой прямую эволюцию, нацеленную на игроков с помощью поддельного чита ‘Slinky’. Речь идет не столько о компрометации широкой инфраструктуры, сколько о сфокусированной, высокообъемной атаке.
От цепочки поставок к Malware-as-a-Service
Что делает это возвращение особенно примечательным, так это эволюция их бизнес-модели. Исторически основной вектор LofyGang — это цепочка поставок JavaScript, включающая typosquatting npm-пакетов, starjacking на GitHub (искусственное повышение авторитета репозиториев фальшивыми ссылками) и встраивание полезной нагрузки в подзависимости для уклонения от обнаружения. Их фокус был на краже токенов Discord, модификации клиента для перехвата кредитных карт и извлечении данных через вебхуки, часто используя легитимные сервисы, такие как Discord, Repl.it, Glitch, GitHub и Heroku в качестве инфраструктуры командно-контрольных серверов (C2).
Последнее развитие событий — значительный отход от прежней тактики. Группа теперь смещается к модели Malware-as-a-Service (MaaS). Это не просто продажа доступа; это предложение многоуровневых услуг, как бесплатных, так и премиальных. В дополнение к этому они разработали собственный конструктор под названием ‘Slinky Cracked’, который выступает в качестве средства доставки стилер-вредоносов. Это критически важный стратегический поворот. Предлагая конструктор и многоуровневые услуги, они снижают порог входа для других начинающих киберпреступников, эффективно расширяя свой охват и влияние без необходимости самостоятельно проводить каждую атаку.
Гамбит GitHub и дефицит доверия
Этот поворот соответствует более широкой тенденции злоумышленников, все чаще злоупотребляющих такими платформами, как GitHub. Она стала излюбленным местом для размещения фальшивых репозиториев, которые заманивают жертв в загрузку семейств вредоносных программ, таких как SmartLoader, StealC Stealer и Vidar Stealer. Такие методы, как SEO-отравление, направляют ничего не подозревающих пользователей на эти обманные сайты. Мы видели, как этот паттерн разыгрывается в различных формах: фальшивые оповещения безопасности для VS Code, фишинговые письма, ведущие к RAT, размещенным на GitHub, и даже вредоносные OAuth-приложения, предназначенные для обмана разработчиков и получения доступа к их аккаунтам.
“Эта кампания с инфостилерами подчеркивает продолжающуюся проблему безопасности, когда широко доверенные платформы используются для распространения вредоносных полезных нагрузок.”
Acronis точно резюмировал эту насущную проблему: «Используя социальное доверие и распространенные каналы загрузки, злоумышленники часто могут обойти традиционные решения безопасности». Текущая стратегия LofyGang с ее прямым подходом социальной инженерии в популярной игровой среде является ярким примером. Они эксплуатируют не только технические уязвимости, но и человеческие, усиленные цифровыми пространствами, где доверие часто предполагается.
Почему это важно для игроков Minecraft
Для миллионов людей, вовлеченных в Minecraft, это означает повышенный риск. Вредоносное ПО, после выполнения, развертывает LofyStealer (маскирующийся под ‘chromelevator.exe’) и запускает его непосредственно в памяти. Его цель — сбор широкого спектра конфиденциальных данных в различных веб-браузерах: Chrome, Edge, Brave, Opera, Firefox и даже Avast Browser. Это включает в себя файлы cookie, пароли, токены, данные кредитных карт и номера международных банковских счетов (IBAN), которые затем передаются на C2-сервер, расположенный по адресу 24.152.36[.]241. Потенциал для кражи личных данных и финансового мошенничества весьма существенен.
Возвращение LofyGang, отмеченное значительным стратегическим сдвигом от атак на цепочки поставок к прямой социальной инженерии и модели MaaS, подчеркивает динамичный и зачастую непредсказуемый характер ландшафта киберпреступности. То, что когда-то было группой, известной одним типом атаки, теперь стало более адаптивной и потенциально более опасной сущностью. Дни, когда против них полагались исключительно на традиционное сигнатурное обнаружение, прошли; понимание их развивающейся тактики теперь имеет первостепенное значение.
🧬 Связанные материалы
- Читать подробнее: [10 угроз] Неделя в безопасности: от фейкового вредоноса Claude до роботов-убийц
- Читать подробнее: Мультиплатформенные атаки поражают 65% взломов — 3-шаговое решение SOC
Часто задаваемые вопросы
Что такое LofyStealer? LofyStealer — это новый вредоносный код, разработанный бразильской киберпреступной группировкой LofyGang. Он предназначен для кражи конфиденциальных данных с взломанных компьютеров, включая браузерные cookie, пароли и финансовую информацию.
Как распространяется LofyStealer? LofyStealer распространяется через поддельный чит для Minecraft под названием ‘Slinky’. Вредоносное ПО использует официальную иконку игры, чтобы обмануть ничего не подозревающих пользователей и заставить их добровольно запустить его.
Какие данные крадет LofyStealer? Вредоносное ПО нацелено на широкий спектр конфиденциальной информации, включая браузерные cookie, пароли, токены безопасности, данные кредитных карт и международные банковские счета (IBAN) из различных веб-браузеров.
