游戲作弊器偷走瀏覽器密碼：一場針對Minecraft玩家的精準狩獵

一個偽裝成《我的世界》作弊工具的惡意程序，正在全球玩家的電腦上無聲運行。它不彈窗、不卡頓，卻能把你Chrome里存的密碼、Edge里的銀行卡號、Firefox里的登錄狀態，全部打包發走。

安全團隊Zenox.ai在ANY.RUN沙箱上捕獲了這場攻擊的完整鏈條。他們發現，這背后是一個來自巴西的網絡犯罪組織——而他們的"商業模式"，已經成熟到讓人不安。

一張圖看懂攻擊全貌

整個攻擊可以用三個階段概括：社會工程誘餌→內存級注入→數據收割變現。

第一階段，攻擊者把惡意程序包裝成名為"Slinky"的Minecraft作弊器，連圖標都用了游戲官方素材。目標人群很明確：年輕玩家，習慣從非官方渠道下載模組和輔助工具。

第二階段，程序運行后沒有任何可見提示，后臺靜默啟動。它先用一個Node.js編寫的加載器（load.exe）掃描Windows注冊表，定位電腦上安裝的瀏覽器——Chrome、Edge、Brave、Opera GX、Firefox等八款主流產品全部在列。

第三階段是技術核心：加載器將目標瀏覽器以"掛起狀態"啟動，在進程完全激活前暫停它，然后把用C++編寫的第二段載荷（chromelevator.exe）直接映射進瀏覽器內存。整個過程不寫入硬盤，傳統殺毒軟件很難察覺。

注入完成后，惡意代碼在瀏覽器內部運行，提取Cookie、保存的密碼、支付卡信息、活躍會話令牌，甚至IBAN國際銀行賬號。數據通過位于巴西某小型數據中心的C2服務器（IP：24.152.36.241）外傳。

為什么選Minecraft？人群即漏洞

這不是隨機撒網。Minecraft的全球玩家基數超過1.4億，其中相當一部分是未成年人或年輕成年人——正是最愿意為了"游戲體驗"冒險下載來路不明軟件的人群。

攻擊者深諳此道。"Slinky"這個名字本身就是在模仿游戲內道具的命名風格，圖標直接盜用官方資源，文件大小和正常作弊器無異。對于目標用戶來說，辨別真偽需要的技術知識遠超其平均水平。

更關鍵的是心理賬戶：玩家對"作弊器"本身就有預期——它本來就要修改游戲內存、繞過反作弊檢測，被殺毒軟件攔截是"正�，F象"。這種預設讓受害者主動關閉安全提示，親手放行惡意程序。

安全研究員在代碼中發現了硬編碼的巴西葡萄牙語字符串，結合C2服務器的地理位置，將攻擊歸因于LofyGang組織。該組織最早由Checkmarx在2022年10月追蹤曝光，當時主要通過NPM軟件包注冊表發起JavaScript供應鏈攻擊。兩年過去，他們的技術棧和商業模式都已升級。

惡意軟件即服務：犯罪也有SaaS化

LofyStealer的運作方式揭示了網絡犯罪產業化的一個切面。它并非單一攻擊工具，而是一個"惡意軟件即服務"（MaaS）平臺，通過網頁儀表盤向買家提供分級訂閱。

免費版功能受限，付費用戶則能解鎖完整套件：受害者管理面板、名為"Slinky Cracked"的自定義可執行文件生成器，以及對被控機器的實時監控。這種結構讓技術能力有限的犯罪分子也能發起專業級攻擊，極大擴展了威脅覆蓋面。

C2面板的自我標識是"LofyStealer, Advanced C2 Platform V2.0"——版本號暗示這不是初版產品，而是經過迭代優化的成熟系統。從供應鏈投毒到游戲社交工程，從單一載荷到內存注入+瀏覽器劫持，LofyGang的演進軌跡清晰可見。

這種"產品化"思維值得警惕。當網絡攻擊開始模仿正經科技公司的運營方式——分層定價、持續迭代、降低使用門檻——防御方的壓力會指數級上升。你面對的不再是孤立的黑客，而是一個有組織、有反饋、有商業閉環的生態系統。

內存注入：殺毒軟件的盲區

這次攻擊的技術亮點在于chromelevator.exe的投遞方式。傳統惡意軟件要么落地為文件再執行，要么利用漏洞直接運行，都會留下可被檢測的痕跡。LofyStealer選擇了一條更隱蔽的路徑：進程空洞化（Process Hollowing）的變體操作。

具體而言，加載器先以掛起狀態創建合法瀏覽器進程，此時進程已分配內存空間但尚未加載實際代碼。然后它卸載原始映像，將惡意載荷映射到同一內存區域，最后恢復進程執行。從操作系統視角看，這是一個正常的瀏覽器進程；從內存掃描視角看，載荷從未以獨立文件形式存在。

這種技術并非LofyGang首創，但將其與游戲作弊場景結合、針對瀏覽器這一高價值目標進行優化，體現了攻擊設計的針對性。瀏覽器內存中存儲著大量敏感憑證：自動填充的密碼、保持登錄狀態的Cookie、甚至未關閉的網銀標簽頁。直接在里面"翻找"，比鍵盤記錄或屏幕截圖高效得多。

對于終端防護產品而言，這類攻擊構成了持續挑戰�；谖募灻臋z測完全失效，行為分析需要區分"瀏覽器正常讀寫配置"和"惡意代碼遍歷憑證存儲"的細微差別，內存掃描則面臨性能與覆蓋率的權衡。LofyStealer的設計顯然研究過這些防御機制的弱點。

玩家社區的信任危機

事件暴露了一個長期存在的安全灰色地帶：游戲模組和輔助工具的分發生態。Minecraft的開放性造就了繁榮的第三方內容市場，但也成為惡意軟件的溫床。官方啟動器、CurseForge等主流平臺有一定審核機制，但更多工具通過Discord服務器、私人網站、網盤鏈接流通，沒有任何安全把關。

"Slinky"的傳播路徑尚未完全公開，但類似攻擊通常依賴視頻平臺引流——YouTube或TikTok上的"免費作弊器教程"附帶下載鏈接，評論區還有托兒反饋"親測有效"。這種閉環利用了平臺算法的推薦機制和社區文化的封閉性：愿意搜索作弊器的用戶，本身就在主動尋找繞過規則的方法，對"官方渠道"的信任度較低。

更值得深思的是代際差異。年輕玩家成長于數字原生環境，對技術風險的感知卻未必同步。他們可能熟練操作復雜模組安裝流程，卻不理解"以管理員權限運行未知程序"意味著什么；他們可能在意賬號被盜的游戲內損失，卻低估瀏覽器憑證泄露對現實財務的威脅。攻擊者精準利用了這種認知落差。

防御建議：在誘惑面前設卡

對于普通玩家，最實際的防護是切斷攻擊鏈的第一環。任何要求關閉殺毒軟件、以管理員權限運行、或從非官方渠道下載的"游戲輔助"，都應視為高風險操作。Minecraft官方及主流平臺（如CurseForge、Modrinth）的審核雖非萬無一失，但比隨機鏈接可靠數個數量級。

瀏覽器層面的緩解措施包括：對敏感網站啟用雙重認證（2FA），這樣即使密碼被盜，攻擊者也無法直接登錄；使用密碼管理器的自動填充而非瀏覽器內置保存功能，減少內存中明文憑證的暴露面；定期檢查活躍會話并清理不再使用的設備授權。

企業安全團隊則需關注這類攻擊的橫向移動潛力。個人游戲電腦與工作環境的安全邊界日益模糊，同一臺機器可能既登錄Steam賬號，也訪問公司VPN。MaaS平臺的普及意味著針對性攻擊的成本持續下降，"低價值目標"的劃分標準需要重新評估。

數據收束

這場攻擊的完整畫像：8款瀏覽器被針對性覆蓋，5類敏感數據成為收割目標，1個巴西IP地址暴露攻擊源頭，2個技術階段實現無文件落地，2級訂閱模式支撐犯罪商業化——免費版引流，高級版解鎖完整 victim 管理面板和實時監控。

從2022年的NPM供應鏈攻擊到今天的游戲社交工程，LofyGang的演進說明：網絡犯罪的"產品創新"從未停止。他們研究用戶心理、優化技術路徑、迭代商業模式，其專業度不亞于任何一家SaaS創業公司。而防御方的挑戰在于，我們既要保護用戶免于技術漏洞，也要幫助他們識破精心設計的誘惑——后者往往更難。