Node.js Yükleyici ve Bellek İçi Tarayıcı Enjeksiyonu Kullanarak LofyStealer Tarafından Hedeflenen Minecraft Oyuncuları

LofyStealer adlı tehlikeli bir infostealer kötü amaçlı yazılımı, kendisini "Slinky" adlı bir oyun hile aracı olarak gizleyerek Minecraft oyuncularını aktif olarak hedef alıyor.

Kötü amaçlı yazılım, popüler web tarayıcılarından hassas verileri sessizce çalan ve kurban makinede yüklü standart güvenlik yazılımlarından büyük ölçüde gizli kalan iki aşamalı bir saldırı gerçekleştirir. Kampanya, geçmişte görülen tipik kötü amaçlı oyun yazılımlarından özellikle daha sofistike. LofyStealer, Node.js tabanlı bir yükleyiciyi, yürütme sırasında doğrudan canlı tarayıcı belleğine enjekte edilen yerel bir C++ veri yükü ile bir araya getirir. Kötü amaçlı yazılım, Chrome, Edge, Brave, Opera GX ve Firefox dahil olmak üzere sekiz büyük tarayıcıyı vururken, çerezleri, kayıtlı şifreleri, ödeme kartı ayrıntılarını, aktif oturum belirteçlerini ve IBAN'ları her birinden çıkararak çok çeşitli hedefleri kapsar. Zenox.ai'deki analistler ve araştırmacılar, ANY.RUN sandbox platformunda yürütülen aktif tehdit avı faaliyetleri sırasında kötü amaçlı yazılımları belirledi ve doğruladı. Kamuoyuna yapılan gönderimleri dikkatlice inceleyen ekip, kampanyayı ilk olarak Ekim 2022 'de Checkmarx tarafından izlenen Brezilya kökenli bir siber suç örgütü olan LofyGang grubuna bağlayabildi. İlişkilendirme, kodun içinde bulunan sabit kodlanmış Brezilya Portekizce dizeleri, 24.152.36.241 IP adresine sahip küçük bir Brezilya veri merkezinde barındırılan bir C2 sunucusu ve kendisini "LofyStealer, Gelişmiş C2 Platformu V2.0" olarak markalaştıran komuta ve kontrol paneli tarafından desteklenmektedir.

Tehdit aktörleri kötü amaçlı yazılımı tamamen sosyal mühendislik yoluyla yayar. Kötü amaçlı dosyayı "Slinky" adlı bir Minecraft hilesi olarak paketlerler ve tamamen meşru görünmesi için oyunun resmi simgesini kullanırlar. Bu yöntem özellikle işe yarıyor çünkü Minecraft, hileleri veya modları gayri resmi kaynaklardan indirme olasılığı çok daha yüksek olan daha genç bir kitleyi cezbediyor. Dosya yürütüldükten sonra, enfeksiyon arka planda sessizce başlar ve kullanıcıya görünür bir uyarı işareti gösterilmez.