【安全圈】巴西 LofyGang 團伙沉寂三年后卷土重來，發起 Minecraft LofyStealer 竊取器活動

關鍵詞

黑客攻擊

一個源自巴西的網絡犯罪團伙在沉寂三年多后卷土重來，策劃了一場針對 Minecraft 玩家的活動，使用名為LofyStealer（又名 GrabBot）的新型竊取器。

巴西網絡安全公司 ZenoX 在一份技術報告中表示：“該惡意軟件偽裝成一個名為‘Slinky’的 Minecraft 外掛。它使用官方游戲圖標誘導用戶自愿執行，利用了游戲場景中年輕用戶的信任?！?/p>

該活動被高度確信地歸因于一個名為LofyGang的威脅行為者。該團伙曾在 2022 年被觀察到利用 npm 注冊表中的拼寫錯誤包（typosquatted packages）推送竊取器惡意軟件，其具體目的是竊取與 Discord Nitro、游戲和流媒體服務相關的信用卡數據和用戶賬戶。

據信該團伙自 2021 年底開始活躍，在 GitHub 和 YouTube 等平臺上宣傳其工具和服務，同時還以 DyPolarLofy 的別名參與地下黑客社區，泄露了數千個 Disney+ 和 Minecraft 賬戶。

ZenoX 聯合創始人兼威脅情報主管 Acassio Silva 告訴 The Hacker News：“自 2022 年以來，Minecraft 一直是 LofyGang 的目標。他們曾以 DyPolarLofy 的別名在 Cracked.io 上泄露了數千個 Minecraft 賬戶。當前的活動則通過一個名為‘Slinky’的虛假外掛直接針對 Minecraft 玩家?！?/p>

攻擊始于一個 Minecraft 外掛，當啟動時，會觸發一個 JavaScript 加載器的執行，該加載器最終負責在受感染主機上部署 LofyStealer（“chromelevator.exe”），并直接在內存中執行，旨在竊取多種網絡瀏覽器中的廣泛敏感數據，包括 Google Chrome、Chrome Beta、Microsoft Edge、Brave、Opera、Opera GX、Mozilla Firefox 和 Avast Browser。

竊取的數據（包括 cookie、密碼、令牌、銀行卡和國際銀行賬號）被外泄到位于 24.152.36[.]241 的命令與控制服務器。

ZenoX 表示：“從歷史上看，該團伙的主要攻擊向量是 JavaScript 供應鏈：NPM 包拼寫錯誤攻擊、星標劫持（虛假引用合法的 GitHub 倉庫以提升可信度），以及嵌入在子依賴項中的載荷以規避檢測。其重點是 Discord 令牌竊取、為攔截信用卡而修改 Discord 客戶端，以及通過濫用合法服務（Discord、Repl.it、Glitch、GitHub 和 Heroku）作為 C2 進行數據外泄?！?/p>

最新進展標志著該團伙與以往觀察到的攻擊手法不同，轉向了惡意軟件即服務模式，提供免費和付費層級，并使用一個名為 Slinky Cracked 的定制構建器作為竊取器惡意軟件的傳播載體。

這一披露正值威脅行為者越來越多地濫用 GitHub 等平臺的信譽，托管虛假倉庫作為惡意軟件家族的誘餌，如 SmartLoader、StealC Stealer 和 Vidar Stealer。毫無戒心的用戶通過 SEO 投毒等技術被引導至這些倉庫。

在某些案例中，攻擊者被發現通過 Reddit 帖子傳播 Vidar 2.0，這些帖子宣傳虛假的《反恐精英 2》游戲外掛，將受害者重定向到一個惡意網站，該網站會提供包含惡意軟件的 ZIP 壓縮包。

Acronis 在上個月發布的分析報告中指出：“這次信息竊取器活動突顯了一個持續存在的安全挑戰：被廣泛信任的平臺被濫用于分發惡意載荷。通過利用社會信任和常見的下載渠道，威脅行為者通常能夠繞過傳統安全解決方案?！?/p>

這些發現為最近幾個月利用 GitHub 的活動清單增添了新內容：

1. 直接在 GitHub 內針對開發者

   ：通過 Discussions 發布虛假的 Microsoft Visual Studio Code 安全警報，誘使用戶點擊鏈接安裝惡意軟件。Socket 表示：“由于 GitHub Discussions 會向參與者和關注者觸發電子郵件通知，這些帖子也會直接發送到開發者的收件箱。這擴大了活動的影響范圍，使其警報看起來更加可信?！?/p>

2. 針對阿根廷司法系統

   ：使用魚叉式釣魚郵件分發壓縮的 ZIP 壓縮包，其中包含一個中間批處理腳本，用于檢索托管在 GitHub 上的遠程訪問木馬。

3. 創建 GitHub 賬戶和 OAuth 應用程序

   ：然后創建一個提及目標開發者的問題，觸發電子郵件通知，進而誘騙他們授權 OAuth 應用程序，使攻擊者能夠獲取其訪問令牌。這些問題旨在制造虛假的緊迫感，警告用戶存在異常訪問嘗試。

4. 使用欺詐性 GitHub 倉庫

   ：分發偽裝成合法 IT 和安全軟件的惡意批處理腳本安裝程序，導致部署 TookPS 下載器，然后啟動多階段感染鏈，使用 SSH 反向隧道和 RAT（如 MineBridge RAT，又名 TeviRAT）建立持久遠程訪問。該活動被歸因于 Rift Brigantine（又名 FIN11、Graceful Spider 和 TA505）。

5. 使用假冒的 GitHub 倉庫

   ：偽裝成 AI 工具、游戲外掛、Roblox 腳本、電話號碼定位追蹤器和 VPN 破解工具，分發 LuaJIT 載荷，這些載荷作為通用木馬，是名為 TroyDen's Lure Factory 活動的一部分。

Netskope 表示：“誘餌工廠的廣度——游戲外掛、開發者工具、電話追蹤器、Roblox 腳本、VPN 破解工具——表明攻擊者正在針對不同受眾優化數量而非精準打擊。防御者應將任何托管在 GitHub 上的、將重命名的解釋器與不透明數據文件配對的下載視為高優先級排查對象，無論其周圍的倉庫看起來多么合法。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！