Угроза в обертке Minecraft: группировка LofyGang запустила новый стилер с продвинутым механизмом обхода

Любители игр, особенно Minecraft, снова оказались под прицелом киберпреступников. Вредоносная кампания, которая маскируется под популярный игровой чит Slinky, использует двухэтапную архитектуру и технологии обхода современных средств защиты. Анализ, проведенный на платформе ANY.RUN, показал, что злоумышленники активно распространяют вредоносное ПО через публичные песочницы, а собранные данные - от паролей до банковских реквизитов - утекают на сервер управления, расположенный в Бразилии.

Описание

Как устроена атака

Злоумышленники выбрали приманку, знакомую каждому геймеру. Вредоносная программа выдается за хак под названием Slinky для Minecraft и использует официальную иконку игры. Такой прием рассчитан на доверие молодых пользователей к игровому сообществу. Человек сам запускает файл, не подозревая об угрозе.

Сама программа построена по модульному принципу. Первый этап - загрузчик load.exe размером 53,5 мегабайта. Он написан на JavaScript и упакован с помощью инструмента pkg от Vercel, который превращает Node.js-приложение в самостоятельный исполняемый файл. Огромный размер и тысячи легитимных библиотек (V8, OpenSSL, libuv) нужны для того, чтобы разбавить вредоносный код и обойти лимиты на загрузку в онлайн-песочницах. Файл содержит полную среду выполнения Node.js, а сам вредоносный скрипт встроен внутрь.

Второй этап - полезная нагрузка chromelevator.exe, написанная на C++. Ее размер составляет всего 1,4 мегабайта. Этот компонент расшифровывается в оперативной памяти и внедряется в процессы браузера напрямую через системные вызовы (syscalls), минуя стандартные API-функции Windows. Именно такой подход позволяет обойти хуки EDR-систем (программных продуктов для обнаружения и реагирования на угрозы на конечных точках), которые мониторят вызовы из таблицы импорта.

Специалисты в своём отчёте отметили, что загрузчик импортирует более 500 функций из 12 DLL-библиотек. Среди них dbghelp.dll с функциями для создания дампов памяти (MiniDumpWriteDump) и WS2_32.dll для сетевого взаимодействия. Во время выполнения в песочнице были зафиксированы TCP-соединения с IP-адресом 24.152.36.241 на порту 8080 - это сервер управления (C2). Также обнаружено использование CRYPT32.dll для доступа к хранилищу сертификатов Windows, что может быть применено для кражи цифровых удостоверений.

Механизмы шифрования и обхода

Полезная нагрузка зашифрована. Для расшифровки загрузчик использует мастер-ключ, обозначенный строкой ASTER_KEY. Алгоритм основан на SHA-256 через Windows CNG (современный криптографический интерфейс Windows). Полученный 32-байтовый хеш становится ключом для симметричной расшифровки. Кроме того, при отправке данных на C2 формируется поле sig, содержащее SHA-256 от архива перед кодированием в Base64, чтобы сервер мог проверить целостность данных.

Сам chromelevator.exe имеет всего 6 секций, причем .text занимает 98,4% файла с высокой энтропией (7,84), что указывает на связывание с генерацией кода во время компиляции и возможное встраивание зашифрованных данных в код. Интересно, что защита GUARD_CF (контроль потока выполнения) отключена, что облегчает потенциальное использование уязвимостей для перехвата управления.

Что именно воруют

Вредоносная программа нацелена на восемь браузеров: Chrome, Chrome Beta, Edge, Brave, Opera, Opera GX, Avast Browser и Firefox. Для каждого из них злоумышленники через реестр Windows находят пути к исполняемым файлам и каталогам установки. После внедрения в процесс браузера стилер извлекает пять категорий данных: файлы cookie, пароли, данные автозаполнения, токены сессий и банковские реквизиты (включая IBAN).

Интересно, что сбор данных организован через именованные каналы (named pipes). Каждый тип данных помечается префиксом: COOKIES:, PASSWORDS:, AUTOFILL:, TOKENS: и так далее. Затем вся информация упаковывается в ZIP-архив с помощью PowerShell (вызов происходит скрыто, без отображения окна), кодируется в Base64 и отправляется на сервер через HTTP POST-запрос на эндпоинт /upload.

Инфраструктура и атрибуция

Сервер управления расположен в бразильском дата-центре Master da Web Datacenter LTDA (AS270564). При подключении к порту 8080 открывается веб-панель с темной темой и фиолетово-золотой цветовой гаммой. Платформа идентифицирует себя как LofyStealer, Advanced C2 Platform V2.0. Панель поддерживает двухуровневую модель Malware-as-a-Service (MaaS): бесплатный тариф с ограниченным доступом и премиум-тариф для полного функционала. Оператор может управлять жертвами, просматривать панель управления и генерировать исполняемые файлы через встроенный Builder.

Эти детали напрямую связывают кампанию с группировкой LofyGang. Еще в 2022 году исследователи Checkmarx документировали эту бразильскую группу, которая использовала NPM-пакеты для кражи аккаунтов Minecraft, Discord и Disney+. Тогда в коде встречались строки на бразильском португальском и файлы с названиями вроде brazil.js. Текущая кампания - эволюция: от JavaScript-загрузчиков через цепочку поставок к полноценному нативному стилеру с собственной MaaS-платформой.

Сходство очевидно: бренд LofyStealer прямо содержит корень Lofy, совпадающий со старыми псевдонимами PolarLofy и DyPolarLofy. Цель - Minecraft - осталась неизменной с 2022 года. Хостинг в бразильском дата-центре, португалоязычные строки в коде, нацеленность на геймерскую аудиторию - все это указывает на высокую вероятность того, что за новой угрозой стоит та же группа.

Последствия и уроки

Кампания показывает, как далеко продвинулись киберпреступники, нацеленные на обычных пользователей. Двухэтапная архитектура, прямые системные вызовы, шифрование полезной нагрузки и использование легитимных библиотек для маскировки делают обнаружение такого вредоноса нетривиальной задачей. Жертвами становятся в первую очередь дети и подростки, которые легко доверяют файлам с игровой тематикой. Украденные данные могут быть использованы для кражи аккаунтов, финансовых мошенничеств и последующих атак на родственников.

Единственный надежный способ защиты - не скачивать подозрительные файлы из непроверенных источников, даже если они выглядят как читы для любимых игр. Использование актуального антивирусного ПО и поведенческого анализа может помочь, но полагаться только на автоматические средства не стоит. Важно также ограничить права пользователя на устройстве, чтобы вредонос не мог легко внедряться в процессы браузеров.