LofyStealer trở lại, lợi dụng game Minecraft làm mồi nhử tấn công game thủ toàn cầu

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
131
1.849 bài viết
LofyStealer trở lại, lợi dụng game Minecraft làm mồi nhử tấn công game thủ toàn cầu
WhiteHat Team
Dưới lớp vỏ bọc vô hại của những khối lập phương trong Minecraft, nơi hàng triệu người chơi tương tác mỗi ngày, một chiến dịch tấn công mạng mới đang âm thầm diễn ra, khai thác chính sự phổ biến của trò chơi và thói quen tải công cụ hỗ trợ từ cộng đồng game thủ. Chiến dịch được cho là sự trở lại của nhóm tội phạm LofyGang với biến thể mã độc LofyStealer, được ngụy trang dưới dạng công cụ gian lận trong game mang tên “Slinky”, qua đó nhắm trực tiếp vào người dùng với mục tiêu đánh cắp dữ liệu cá nhân trên diện rộng.
Minecraft.png

Minecraft là một trong những tựa game có cộng đồng người chơi lớn và ổn định nhất thế giới, với hàng trăm triệu tài khoản hoạt động mỗi tháng trên nhiều nền tảng như PC, console và di động. Tại Việt Nam, game này cũng đặc biệt phổ biến trong nhóm học sinh, nhờ lối chơi tự do, dễ tiếp cận và hệ sinh thái nội dung phong phú từ YouTube, TikTok đến các server cộng đồng. Chính quy mô người chơi rộng và tính lan tỏa mạnh của nội dung liên quan khiến Minecraft trở thành môi trường thường xuyên bị các nhóm tấn công mạng khai thác làm “kênh phân phối” cho các mã độc đánh cắp thông tin.

Theo phân tích từ các nền tảng sandbox, tệp độc hại ban đầu được ngụy trang bằng biểu tượng Minecraft nhằm đánh lừa người dùng, đặc biệt là nhóm game thủ trẻ tuổi. Khi được kích hoạt, tệp không thực thi ngay hành vi đánh cắp dữ liệu mà khởi chạy một chuỗi xử lý nhiều tầng.

Phần mềm độc hại được triển khai theo kiến trúc mô-đun hai giai đoạn với khả năng né tránh phát hiện cao. Giai đoạn đầu tiên là file loader dung lượng lớn, khoảng 53,5 MB, mang tên load.exe. Đáng chú ý, tệp này được xây dựng bằng cách đóng gói toàn bộ môi trường Node.js thành một ứng dụng độc lập. Bên trong là mã JavaScript độc hại được trộn lẫn với hàng nghìn thư viện hợp lệ, khiến cấu trúc trở nên phức tạp và làm giảm hiệu quả nhận diện của các hệ thống phân tích tự động, đặc biệt trong giai đoạn đầu.

Sau khi khởi chạy, loader thiết lập kết nối tới máy chủ điều khiển từ xa và giải mã payload tiếp theo. Thành phần này được viết bằng C++, có dung lượng khoảng 1,4 MB, với nhiệm vụ thực thi các hành vi đánh cắp dữ liệu trên hệ thống mục tiêu ở mức độ thấp hơn của hệ điều hành.
1777461085411.png

Ở giai đoạn kế tiếp, payload tập trung thu thập dữ liệu trình duyệt, bao gồm cookie phiên đăng nhập, mật khẩu lưu trữ, token xác thực và trong một số trường hợp có thể bao gồm dữ liệu tài chính nếu người dùng từng lưu trên trình duyệt. Mã độc đồng thời nhắm tới nhiều trình duyệt phổ biến như Chrome, Edge, Brave và Firefox, mở rộng đáng kể phạm vi khai thác thông tin. Sau khi thu thập, dữ liệu được nén lại, mã hóa và gửi về máy chủ điều khiển của kẻ tấn công thông qua kênh kết nối ẩn nhằm tránh bị phát hiện trong quá trình truyền tải.
1777461101732.png

Các phân tích an ninh mạng cũng ghi nhận dấu hiệu cho thấy chiến dịch được vận hành thông qua hạ tầng điều khiển tập trung. Một bảng điều khiển web được phát hiện tại trung tâm dữ liệu ở Brazil, hoạt động trên cổng 8080, với giao diện dạng dashboard cho phép theo dõi và quản lý dữ liệu nạn nhân theo thời gian thực, được xác định mang tên “LofyStealer V2.0”.

Chiến dịch cũng cho thấy sự kết hợp của nhiều kỹ thuật né tránh phát hiện, bao gồm việc đóng gói Node.js để làm nhiễu dấu vết mã độc, sử dụng kiến trúc tải trọng nhiều lớp và khai thác cơ chế thực thi trực tiếp trong bộ nhớ hệ thống. Những kỹ thuật này phản ánh mức độ chuyên nghiệp hóa ngày càng cao của các nhóm phát tán infostealer, đồng thời cho thấy xu hướng thương mại hóa công cụ tấn công mạng đang tiếp tục gia tăng.
1777461123220.png

LofyGang là một nhóm tội phạm mạng nói tiếng Bồ Đào Nha, được ghi nhận hoạt động từ khoảng năm 2021 trong các chiến dịch đánh cắp tài khoản trực tuyến. Ban đầu, LofyGang tập trung khai thác các gói phần mềm mã nguồn mở bị cài cắm mã độc, đồng thời nhắm vào các tài khoản dịch vụ phổ biến như Discord và các nền tảng streaming để thu thập thông tin đăng nhập. Tuy nhiên, trong giai đoạn gần đây, nhóm đã chuyển sang mô hình “Malware-as-a-Service”, cung cấp hạ tầng và công cụ phát tán mã độc cho nhiều đối tượng khác cùng sử dụng. Sự thay đổi này cho thấy LofyGang không chỉ trực tiếp thực hiện tấn công, mà còn vận hành như một hệ sinh thái phân phối mã độc có tính thương mại hóa, qua đó mở rộng quy mô hoạt động và gia tăng mức độ lan truyền của các chiến dịch đánh cắp dữ liệu.

Các chuyên gia cảnh báo cộng đồng game thủ, đặc biệt là người dùng Minecraft, cần thận trọng với các tệp mod, cheat hoặc phần mềm không rõ nguồn gốc. Đây hiện vẫn là một trong những kênh lây nhiễm phổ biến nhất, khi kẻ tấn công tận dụng chính hành vi cài đặt tự nguyện của người dùng thay vì khai thác các lỗ hổng kỹ thuật phức tạp trong hệ thống.


Tổng hợp
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng RCE nghiêm trọng trong LeRobot đe dọa hệ thống AI và robot
  • Lỗ hổng nghiêm trọng trong LiteLLM cho phép tin tặc truy cập dữ liệu nhạy cảm
  • Ollama dính lỗ hổng zero-day nghiêm trọng gây rò rỉ bộ nhớ hệ thống
  • LMDeploy dính lỗ hổng SSRF nghiêm trọng, tin tặc vũ khí hóa thần tốc chỉ sau 12h
  • Apple vá lỗ hổng nghiêm trọng cho phép khôi phục tin nhắn Signal đã xóa
  • Atlassian cảnh báo lỗ hổng nghiêm trọng trong Bamboo, đe dọa chuỗi CI/CD doanh nghiệp
    • Thẻ
    mã độc lofystealer minecraft
    Bên trên