Minecraft-Spieler durch LofyStealer mit Node.js-Loader und In-Memory-Browser-Injektion ins Visier genommen

LofyStealer verpackt einen Node.js-basierten Loader mit einer nativen C++-Payload, die während der Ausführung direkt in den Live-Browser-Speicher injiziert wird.

Die Malware deckt eine breite Palette große Browser, darunter Chrome, Edge, Brave, Opera GX und Firefox, und extrahiert aus jedem davon Cookies, gespeicherte Passwörter, Zahlungskartendetails, aktive Sitzungstoken und IBANs.

Analysten und Forscher ätigten die Malware während aktiver Threat-Hunting-Aktivitäten, die auf der ANY.RUN Sandbox-Plattform durchgeführt wurden.

Durch sorgfältiges Studium öffentlicher Einreichungen konnte

Durch sorgfältiges Studium öffentlicher Einreichungen konnte das Team die Kampagne mit der LofyGang-Gruppe in Verbindung bringen, einer Cyberkriminalitätsorganisation brasilianischen Ursprungs, die erstmals im Oktober 2022.

Die Zuordnung wird durch hartcodierte brasilianisch-portugiesische Zeichenketten gestützt, die in dem Code gefunden wurden, einen C2-Server, der in einem kleinen brasilianischen Rechenzentrum mit der IP-Adresse 24.152.36.241 gehostet wird, und das Kommando- und Kontrollpanel, das sich als „LofyStealer, Advanced C2 Platform V2.0“ ausgibt.

Die Bedrohungsakteure verbreiten die Malware ausschließlich durch Engineering. Sie verpacken die bösartige Datei als Minecraft-Cheat namens „Slinky“ und verwenden das offizielle Icon des Spiels, um sie völlig legitim erscheinen zu lassen.

Diese Methode funktioniert besonders gut, weil

Diese Methode funktioniert besonders gut, weil Minecraft ein jüngeres Publikum anzieht, das viel wahrscheinlicher ist, Cheats oder Mods aus nicht offiziellen Quellen herunterzuladen. Sobald die Datei ausgeführt wird, beginnt die Infektion leise im Hintergrund, ohne dass dem Benutzer sichtbare Warnzeichen angezeigt werden.

Infection Chain (Quelle – Zenox.ai) LofyStealer fungiert als Malware-as-a-Service (MaaS) Plattform und bietet kriminellen Käufern über ein webbasiertes Dashboard kostenlose und Premium-Tarife an.

Premium-Nutzer erhalten vollen Zugriff auf ein Opferverwaltungspanel, ein benutzerdefiniertes ausführbares Programm namens „Slinky Cracked“ und die Echtzeitüberwachung kompromittierter Maschinen.

LofyStealer C2 Panel (Quelle – Zenox.ai)

LofyStealer C2 Panel (Quelle – Zenox.ai) Dieses strukturierte Geschäftsmodell spiegelt einen ausgereiften und professionalisierten Betrieb wider, der weit über seine frühen Wurzeln als JavaScript-Supply-Chain-Angriff, der über das NPM-Paketregister verteilt wurde, hinausgewachsen ist.

In-Memory Browser Injection: Wie LofyStealer Sicherheitswerkzeuge umgeht Der technisch auffälligste Teil Weise, wie seine zweite Stufe Payload, chromelevator.exe, in aktive Browserprozesse injiziert wird, ohne gängige Sicherheitsabwehrmechanismen auszulösen.

Sobald der Loader, load.exe, auf der Zielmaschine läuft, fragt er die Windows-Registrierung ab, um installierte Browser zu lokalisieren, und startet dann den identifizierten Browser in einem suspendierten Zustand, wodurch der Prozess vor seiner vollständigen Aktivität vorübergehend angehalten wird.

Der Loader kartiert dann die Nutzlast

Der Loader kartiert dann die Nutzlast direkt in den Speicherbereich des Browsers mithilfe gängige API-Funktionen zu verlassen, die überwacht werden, löst er Low-Level-Funktionen aus ntdll.dll zur Laufzeit über direkte Systemaufrufe (syscalls) auf.

Diese Technik umgeht EDR- und Antivirus-Hooks, die nur hochrangige KERNEL32.dll-Aufrufe überwachen, und gibt der Nutzlast einen sauberen und unentdeckten Weg in den laufenden Browserprozess.

Sobald die Nutzlast injiziert und vollständig innerhalb des Browsers aktiv ist, extrahiert sie Cookies, gespeicherte Passwörter, Sitzungstoken, Zahlkarteninformationen und IBANs aus acht gezielten Browsern.

Gestohlene Daten werden mithilfe eines versteckten

Gestohlene Daten werden mithilfe eines versteckten PowerShell-Befehls komprimiert, in Base64 kodiert und über eine HTTP POST-Anfrage mit einer angehängten SHA-256-Integritätssignatur an den C2-Server gesendet. Der Server stellt dann alle gestohlenen Datensätze über das Live-Web-Dashboard für die Betreiber zur Verfügung.

Benutzer und Organisationen sollten das Herunterladen , Cheats oder Spiel-Utilities aus inoffiziellen oder nicht vertrauenswürdigen Quellen vermeiden, insbesondere solche, die über Discord-Kanäle oder unbekannte File-Sharing-Seiten geteilt werden.

Endpoint-Sicherheitslösungen, die in-Memory-Injektionsverhalten erkennen können, bieten einen stärkeren Schutz gegen diese Malware als allein das traditionelle Dateiscan. Auf allen Gaming-, Streaming- und Finanzkonten sollte die Multi-Faktor-Authentifizierung aktiviert werden, um das Risiko des Credential-Diebstahls zu verringern.

Sicherheitsteams wird geraten, ausgehenden Datenverkehr

Sicherheitsteams wird geraten, ausgehenden Datenverkehr zu IP 24.152.36.241 auf Port 8080 zu blockieren und Systeme auf PowerShell-Ausführungen im versteckten Modus zu überwachen, da dies ein wichtiges Verhaltensindikator für einen Kompromittierung ist. Sie uns auf

Setzen Sie CSN als bevorzugte Quelle in Google. Der Beitrag Minecraft Players Targeted In-Memory Browser Injection erschien zuerst auf Cyber Security News.