Спустя три года молчания группировка LofyGang снова активна. Бразильские киберпреступники, впервые замеченные в конце 2021 года, запустили новую кампанию против игроков Minecraft — и на этот раз они пришли с готовым инструментом промышленного масштаба.
Новая вредоносная программа называется LofyStealer (в некоторых источниках фигурирует как GrabBot). Она маскируется под чит для Minecraft с названием «Slinky» и даже использует официальную иконку игры, чтобы не вызывать подозрений. Пользователь скачивает то, что выглядит как обычный игровой хак, запускает его — и всё. Цепочка атаки выглядит так: фейковый чит Slinky запускает JavaScript-загрузчик, который разворачивает в памяти исполняемый файл
Технический отчёт компании ZenoX, которая занимается расследованием этой кампании, формулирует это прямо: «Вредонос маскируется под чит для Minecraft под названием Slinky. Он использует официальную иконку игры, чтобы спровоцировать добровольный запуск, эксплуатируя доверие молодых пользователей к игровой среде». Акассио Силва, сооснователь и руководитель отдела анализа угроз ZenoX, в интервью The Hacker News добавил: «Minecraft был целью LofyGang с 2022 года. Под псевдонимом DyPolarLofy они слили тысячи аккаунтов Minecraft и Disney+ на площадке . Нынешняя кампания бьёт по игрокам напрямую через поддельный чит Slinky».
Что именно похищает LofyStealer? Куки, пароли, токены Discord, данные банковских карт и номера IBAN. Программа работает с восемью браузерами: Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox и Avast Browser. Для молодой аудитории, которая держит в браузере всё — от игровых аккаунтов до привязанных карт родителей — это весьма неприятный список.
Интересна и сама эволюция группы. В 2022 году LofyGang специализировалась на атаках на цепочку поставок через npm-реестр: публиковала пакеты с намеренными опечатками в названиях (typosquatting), прятала нагрузку в зависимостях, использовала так называемый starjacking — приём, при котором вредоносный репозиторий ссылается на легитимный GitHub-проект, чтобы выглядеть авторитетнее. Для перехвата данных банковских карт группа модифицировала клиент Discord, а в качестве командных серверов использовала Discord, , Glitch, GitHub и Heroku. Теперь тактика сменилась: LofyGang перешла на модель Malware-as-a-Service с бесплатным и премиальным уровнями доступа, а вместо атак на разработчиков бьёт напрямую по рядовым пользователям через фейковые игровые читы. Для распространения используется специальный билдер под названием «Slinky Cracked».
LofyGang — не единственные, кто использует доверие к публичным платформам как оружие. Анализ Acronis, опубликованный в прошлом месяце, фиксирует целую волну схожих кампаний: «Эта кампания с инфостилером наглядно показывает продолжающуюся проблему безопасности: широко доверяемые платформы используются для распространения вредоносных нагрузок. Эксплуатируя социальное доверие и привычные каналы загрузки, злоумышленники нередко обходят традиционные решения безопасности».
Один из параллельных примеров — кампания с использованием Reddit и Counter-Strike 2. Поддельные посты рекламируют читы для CS2, перенаправляя пользователей на ZIP-архив с Vidar 2.0 (второй версией известного стилера). Для продвижения этих постов применяется SEO-отравление, то есть искусственная накрутка позиций в поисковой выдаче.
Разработчики тоже под ударом. Компания Socket зафиксировала кампанию, которая бьёт прямо по GitHub Discussions: злоумышленники публикуют там фальшивые предупреждения безопасности от имени Microsoft VS Code. Поскольку обсуждения на GitHub автоматически рассылают уведомления всем участникам и подписчикам по электронной почте, эти сообщения попадают прямо во входящие. Socket описывает механику так: «Это расширяет охват кампании за пределы GitHub и делает предупреждения более убедительными».
Судебная система Аргентины стала целью отдельной spear-phishing-кампании: письма с искусственно нагнетаемой срочностью ведут к ZIP-архиву, внутри которого промежуточный bat-скрипт, а финальная нагрузка — RAT, размещённый на GitHub. Группировка Rift Brigantine (она же FIN11, Graceful Spider и TA505) действует похожим образом: распространяет через поддельные GitHub-репозитории установщики, замаскированные под IT- и security-инструменты. Цепочка выглядит так: загрузчик TookPS устанавливает SSH-реверс-туннель, после чего разворачивается RAT MineBridge (он же TeviRAT).
Отдельного внимания заслуживает то, что исследователи называют «фабрикой приманок» TroyDen. Это сеть фальшивых GitHub-репозиториев, которые притворяются AI-инструментами, игровыми читами, скриптами для Roblox, трекерами номеров телефонов и взломщиками VPN. Все они распространяют полезную нагрузку на базе LuaJIT, функционирующую как универсальный троян. Netskope характеризует эту кампанию так: «Широта фабрики приманок указывает на актора, оптимизирующего охват по объёму аудитории, а не по точности. Защитникам стоит относиться к любой загрузке с GitHub, где переименованный интерпретатор идёт в паре с непрозрачным файлом данных, как к приоритетному объекту для проверки — вне зависимости от того, насколько легитимным выглядит окружающий репозиторий».
Общая картина такова: GitHub, Reddit, Discord и другие платформы с высоким уровнем общественного доверия превращаются в инфраструктуру атак. Молодые игроки, ищущие читы, разработчики, читающие уведомления от GitHub, юристы, открывающие «срочные» письма — все они оказываются в прицеле. Вредонос работает лучше всего там, где его меньше всего ожидают. Хороший чит всегда выглядит как чит, пока не становится слишком поздно что-то менять.
Изображение носит иллюстративный характер
Новая вредоносная программа называется LofyStealer (в некоторых источниках фигурирует как GrabBot). Она маскируется под чит для Minecraft с названием «Slinky» и даже использует официальную иконку игры, чтобы не вызывать подозрений. Пользователь скачивает то, что выглядит как обычный игровой хак, запускает его — и всё. Цепочка атаки выглядит так: фейковый чит Slinky запускает JavaScript-загрузчик, который разворачивает в памяти исполняемый файл
chromelevator.exe. Он никуда не записывается на диск — работает прямо в оперативной памяти. Связь с командным сервером идёт через IP-адрес 24.152.36[.]241. Технический отчёт компании ZenoX, которая занимается расследованием этой кампании, формулирует это прямо: «Вредонос маскируется под чит для Minecraft под названием Slinky. Он использует официальную иконку игры, чтобы спровоцировать добровольный запуск, эксплуатируя доверие молодых пользователей к игровой среде». Акассио Силва, сооснователь и руководитель отдела анализа угроз ZenoX, в интервью The Hacker News добавил: «Minecraft был целью LofyGang с 2022 года. Под псевдонимом DyPolarLofy они слили тысячи аккаунтов Minecraft и Disney+ на площадке . Нынешняя кампания бьёт по игрокам напрямую через поддельный чит Slinky».
Что именно похищает LofyStealer? Куки, пароли, токены Discord, данные банковских карт и номера IBAN. Программа работает с восемью браузерами: Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox и Avast Browser. Для молодой аудитории, которая держит в браузере всё — от игровых аккаунтов до привязанных карт родителей — это весьма неприятный список.
Интересна и сама эволюция группы. В 2022 году LofyGang специализировалась на атаках на цепочку поставок через npm-реестр: публиковала пакеты с намеренными опечатками в названиях (typosquatting), прятала нагрузку в зависимостях, использовала так называемый starjacking — приём, при котором вредоносный репозиторий ссылается на легитимный GitHub-проект, чтобы выглядеть авторитетнее. Для перехвата данных банковских карт группа модифицировала клиент Discord, а в качестве командных серверов использовала Discord, , Glitch, GitHub и Heroku. Теперь тактика сменилась: LofyGang перешла на модель Malware-as-a-Service с бесплатным и премиальным уровнями доступа, а вместо атак на разработчиков бьёт напрямую по рядовым пользователям через фейковые игровые читы. Для распространения используется специальный билдер под названием «Slinky Cracked».
LofyGang — не единственные, кто использует доверие к публичным платформам как оружие. Анализ Acronis, опубликованный в прошлом месяце, фиксирует целую волну схожих кампаний: «Эта кампания с инфостилером наглядно показывает продолжающуюся проблему безопасности: широко доверяемые платформы используются для распространения вредоносных нагрузок. Эксплуатируя социальное доверие и привычные каналы загрузки, злоумышленники нередко обходят традиционные решения безопасности».
Один из параллельных примеров — кампания с использованием Reddit и Counter-Strike 2. Поддельные посты рекламируют читы для CS2, перенаправляя пользователей на ZIP-архив с Vidar 2.0 (второй версией известного стилера). Для продвижения этих постов применяется SEO-отравление, то есть искусственная накрутка позиций в поисковой выдаче.
Разработчики тоже под ударом. Компания Socket зафиксировала кампанию, которая бьёт прямо по GitHub Discussions: злоумышленники публикуют там фальшивые предупреждения безопасности от имени Microsoft VS Code. Поскольку обсуждения на GitHub автоматически рассылают уведомления всем участникам и подписчикам по электронной почте, эти сообщения попадают прямо во входящие. Socket описывает механику так: «Это расширяет охват кампании за пределы GitHub и делает предупреждения более убедительными».
Судебная система Аргентины стала целью отдельной spear-phishing-кампании: письма с искусственно нагнетаемой срочностью ведут к ZIP-архиву, внутри которого промежуточный bat-скрипт, а финальная нагрузка — RAT, размещённый на GitHub. Группировка Rift Brigantine (она же FIN11, Graceful Spider и TA505) действует похожим образом: распространяет через поддельные GitHub-репозитории установщики, замаскированные под IT- и security-инструменты. Цепочка выглядит так: загрузчик TookPS устанавливает SSH-реверс-туннель, после чего разворачивается RAT MineBridge (он же TeviRAT).
Отдельного внимания заслуживает то, что исследователи называют «фабрикой приманок» TroyDen. Это сеть фальшивых GitHub-репозиториев, которые притворяются AI-инструментами, игровыми читами, скриптами для Roblox, трекерами номеров телефонов и взломщиками VPN. Все они распространяют полезную нагрузку на базе LuaJIT, функционирующую как универсальный троян. Netskope характеризует эту кампанию так: «Широта фабрики приманок указывает на актора, оптимизирующего охват по объёму аудитории, а не по точности. Защитникам стоит относиться к любой загрузке с GitHub, где переименованный интерпретатор идёт в паре с непрозрачным файлом данных, как к приоритетному объекту для проверки — вне зависимости от того, насколько легитимным выглядит окружающий репозиторий».
Общая картина такова: GitHub, Reddit, Discord и другие платформы с высоким уровнем общественного доверия превращаются в инфраструктуру атак. Молодые игроки, ищущие читы, разработчики, читающие уведомления от GitHub, юристы, открывающие «срочные» письма — все они оказываются в прицеле. Вредонос работает лучше всего там, где его меньше всего ожидают. Хороший чит всегда выглядит как чит, пока не становится слишком поздно что-то менять.
