LofyGang 带着针对 Minecraft 的 LofyStealer 恶意软件回归

执行摘要

被称为LofyGang的巴西网络犯罪团伙在三年的沉寂后重新出现，他们发起了一个新的信息窃取恶意软件活动，目标是Minecraft玩家。根据巴西网络安全公司ZenoX的技术报告，这款恶意软件——被称为LofyStealer（也追踪为GrabBot）——伪装成一个名为'Slinky'的Minecraft黑客工具，并使用官方游戏图标诱骗用户自愿执行它。这次活动标志着该团伙自2023年以来首次已知的行动。

技术分析

LofyStealer被分发为一个恶意可执行文件，伪装成Minecraft修改或作弊工具。ZenoX研究人员报告称，该恶意软件利用社交工程，采用游戏的官方图标以显得合法。一旦执行，LofyStealer就会从受感染的机器上收集浏览器存储的凭证、会话令牌和加密货币钱包数据。恶意软件与命令和控制（C2）基础设施通信以窃取数据，尽管ZenoX在其公开报告中没有披露具体的C2 IP或域名。

该团伙在三年不活动后重新出现值得注意。LofyGang此前在巴西网络犯罪生态系统中活跃，主要针对游戏社区和在线用户，使用凭证窃取工具。选择Minecraft——一个拥有庞大全球玩家基础的游戏，包括大量年轻用户——表明该团伙旨在追求数量而非高价值目标。

缓解措施与建议

防御者和Minecraft玩家应对任何第三方修改或作弊工具持极度怀疑态度，特别是那些托管在非官方论坛或文件共享平台上的工具。ZenoX建议仅从受信任的来源下载游戏修改，如CurseForge或官方Minecraft Marketplace。拥有在家网络中的年轻游戏玩家的组织应考虑使用端点检测和响应（EDR）解决方案，这些解决方案可以标记伪装成游戏二进制文件的可执行文件，并在可行的情况下强制应用白名单。