Minecraft-Spieler durch LofyStealer mit Node.js-Loader und In-Memory-Browser-Injektion ins Visier genommen

Diese Methode funktioniert besonders gut, weil

Diese Methode funktioniert besonders gut, weil Minecraft ein jüngeres Publikum anzieht, das viel wahrscheinlicher ist, Cheats oder Mods aus nicht offiziellen Quellen herunterzuladen. Sobald die Datei ausgeführt wird, beginnt die Infektion leise im Hintergrund, ohne dass dem Benutzer sichtbare Warnzeichen angezeigt werden.

Infection Chain (Quelle – Zenox.ai) LofyStealer fungiert als Malware-as-a-Service (MaaS) Plattform und bietet kriminellen Käufern über ein webbasiertes Dashboard kostenlose und Premium-Tarife an.

Premium-Nutzer erhalten vollen Zugriff auf ein Opferverwaltungspanel, ein benutzerdefiniertes ausführbares Programm namens „Slinky Cracked“ und die Echtzeitüberwachung kompromittierter Maschinen.

Sicherheitslage und Risiko

LofyStealer C2 Panel (Quelle – Zenox.ai) Dieses strukturierte Geschäftsmodell spiegelt einen ausgereiften und professionalisierten Betrieb wider, der weit über seine frühen Wurzeln als JavaScript-Supply-Chain-Angriff, der über das NPM-Paketregister verteilt wurde, hinausgewachsen ist.

In-Memory Browser Injection: Wie LofyStealer Sicherheitswerkzeuge umgeht Der technisch auffälligste Teil und Weise, wie seine zweite Stufe Payload, chromelevator.exe, in aktive Browserprozesse injiziert wird, ohne gängige Sicherheitsabwehrmechanismen auszulösen.

Sobald der Loader, load.exe, auf der Zielmaschine läuft, fragt er die Windows-Registrierung ab, um installierte Browser zu lokalisieren, und startet dann den identifizierten Browser in einem suspendierten Zustand, wodurch der Prozess vor seiner vollständigen Aktivität vorübergehend angehalten wird.

Technischer Hintergrund

Der Loader kartiert dann die Nutzlast direkt in den Speicherbereich des Browsers mithilfe gängige API-Funktionen zu verlassen, die überwacht werden, löst er Low-Level-Funktionen aus ntdll.dll zur Laufzeit über direkte Systemaufrufe (syscalls) auf.

Diese Technik umgeht EDR- und Antivirus-Hooks, die nur hochrangige KERNEL32.dll-Aufrufe überwachen, und gibt der Nutzlast einen sauberen und unentdeckten Weg in den laufenden Browserprozess.

Sobald die Nutzlast injiziert und vollständig innerhalb des Browsers aktiv ist, extrahiert sie Cookies, gespeicherte Passwörter, Sitzungstoken, Zahlkarteninformationen und IBANs aus acht gezielten Browsern.

Technischer Hintergrund

Gestohlene Daten werden mithilfe eines versteckten PowerShell-Befehls komprimiert, in Base64 kodiert und über eine HTTP POST-Anfrage mit einer angehängten SHA-256-Integritätssignatur an den C2-Server gesendet. Der Server stellt dann alle gestohlenen Datensätze über das Live-Web-Dashboard für die Betreiber zur Verfügung.

Benutzer und Organisationen sollten das Herunterladen, Cheats oder Spiel-Utilities aus inoffiziellen oder nicht vertrauenswürdigen Quellen vermeiden, insbesondere solche, die über Discord-Kanäle oder unbekannte File-Sharing-Seiten geteilt werden.

Endpoint-Sicherheitslösungen, die in-Memory-Injektionsverhalten erkennen können, bieten einen stärkeren Schutz gegen diese Malware als allein das traditionelle Dateiscan. Auf allen Gaming-, Streaming- und Finanzkonten sollte die Multi-Faktor-Authentifizierung aktiviert werden, um das Risiko des Credential-Diebstahls zu verringern.

Technik und Auswirkungen

Sicherheitsteams wird geraten, ausgehenden Datenverkehr zu IP 24.152.36.241 auf Port 8080 zu blockieren und Systeme auf PowerShell-Ausführungen im versteckten Modus zu überwachen, da dies ein wichtiges Verhaltensindikator für einen Kompromittierung ist. Sie uns auf

Setzen Sie CSN als bevorzugte Quelle in Google. Der Beitrag Minecraft Players Targeted and In-Memory Browser Injection erschien zuerst auf