LofyStealer malware là một chiến dịch infostealer đang nhắm vào người chơi Minecraft bằng cách ngụy trang dưới tên công cụ gian lận “Slinky”. Mã độc này thực hiện chuỗi tấn công hai giai đoạn để đánh cắp dữ liệu từ trình duyệt phổ biến và giảm khả năng bị phát hiện bởi phần mềm bảo mật trên máy nạn nhân.
LofyStealer malware và mô hình tấn công
Chiến dịch này cho thấy mức độ tinh vi cao hơn nhiều so với các gaming malware thông thường. LofyStealer kết hợp một Node.js-based loader với payload C++ gốc, sau đó chèn trực tiếp vào bộ nhớ trình duyệt đang chạy.
Quá trình lây nhiễm diễn ra âm thầm ở nền, không hiển thị cảnh báo rõ ràng cho người dùng. Mục tiêu chính là thu thập dữ liệu nhạy cảm từ phiên đăng nhập và thông tin lưu trữ trong trình duyệt.
Chuỗi thực thi
- load.exe được chạy trên máy nạn nhân.
- Loader truy vấn Windows registry để xác định trình duyệt đã cài đặt.
- Tiến trình trình duyệt được khởi chạy ở trạng thái suspended.
- Payload chromelevator.exe được ánh xạ trực tiếp vào bộ nhớ tiến trình.
- Tiến trình sau đó tiếp tục hoạt động với payload đã tiêm vào.
LofyStealer malware nhắm vào trình duyệt nào
Mã độc này mở rộng phạm vi sang 8 trình duyệt lớn, bao gồm Chrome, Edge, Brave, Opera GX và Firefox. Khi đã vào được bộ nhớ trình duyệt, payload trích xuất cookie, mật khẩu đã lưu, thẻ thanh toán, session token đang hoạt động và IBAN.
Việc thu thập diễn ra trên từng trình duyệt mục tiêu, cho phép kẻ vận hành gom dữ liệu xác thực và dữ liệu tài chính từ nhiều môi trường duyệt web khác nhau. Đây là điểm làm cho LofyStealer malware khác biệt so với các stealer nhẹ chỉ nhắm vào cookie hoặc mật khẩu.
Kỹ thuật né phát hiện
Loader ánh xạ payload trực tiếp vào không gian nhớ của trình duyệt bằng các lời gọi cấp kernel trên Windows. Thay vì phụ thuộc vào các API thông dụng, nó giải quyết các hàm mức thấp từ ntdll.dll tại runtime thông qua direct syscalls.
Kỹ thuật này giúp bypass các hook của EDR và antivirus vốn chỉ theo dõi các lời gọi mức cao từ KERNEL32.dll. Nhờ đó, payload có đường đi “sạch” hơn vào tiến trình trình duyệt đang chạy.
IOC và hạ tầng điều khiển
Phân tích cho thấy chiến dịch có dấu hiệu liên hệ với chuỗi hạ tầng điều khiển được gắn nhãn “LofyStealer, Advanced C2 Platform V2.0”. Dữ liệu thu thập được gửi về máy chủ C2 qua HTTP POST kèm chữ ký toàn vẹn SHA-256.
Trước khi truyền đi, dữ liệu bị nén bằng lệnh PowerShell ẩn và mã hóa Base64. Web dashboard sau đó hiển thị toàn bộ bản ghi bị đánh cắp cho người vận hành.
IOC được nêu trong nội dung:
- IP C2: 24.152.36.241
- Port: 8080
- Chuỗi nhận diện C2 panel: “LofyStealer, Advanced C2 Platform V2.0”
- Tên payload: load.exe, chromelevator.exe
LofyStealer malware được phát tán hoàn toàn bằng social engineering. Tệp độc hại được đóng gói như một bản cheat Minecraft tên “Slinky” và dùng biểu tượng chính thức của trò chơi để tạo cảm giác hợp lệ.
Cách này hiệu quả vì người dùng thường tải mod hoặc cheat từ nguồn không chính thức. Khi tệp được thực thi, quá trình lây nhiễm bắt đầu im lặng, không có dấu hiệu rõ ràng ở giao diện hệ thống.
Phát hiện và xác nhận mẫu độc hại
Các nhà phân tích đã xác nhận mẫu LofyStealer malware trong quá trình săn lùng mối đe dọa trên nền tảng ANY.RUN. Phân tích công khai liên kết chiến dịch với một nhóm tội phạm mạng, dựa trên chuỗi ký tự tiếng Bồ Đào Nha hardcoded, hạ tầng C2 và nhãn thương mại của bảng điều khiển.
Để đối chiếu thêm thông tin về tri thức hạ tầng, có thể tham khảo danh mục cảnh báo CVE và các mô tả kỹ thuật liên quan trên CISA Known Exploited Vulnerabilities Catalog.
LofyStealer malware dưới góc độ MaaS
Mã độc này hoạt động như một nền tảng Malware-as-a-Service (MaaS), cung cấp các gói Free và Premium cho khách hàng. Bản Premium cho phép truy cập vào bảng điều khiển quản lý nạn nhân, trình tạo file thực thi tùy biến và giám sát thời gian thực các máy đã bị xâm nhập.
Mô hình này cho thấy hạ tầng đã được tổ chức theo hướng dịch vụ hóa, thay vì chỉ là một mẫu stealer đơn lẻ. Về mặt vận hành, LofyStealer malware kết hợp phát tán qua tệp giả mạo, tiêm bộ nhớ trong tiến trình trình duyệt và điều khiển qua web dashboard.
Ảnh hưởng hệ thống và dữ liệu bị nhắm đến
Ảnh hưởng chính của LofyStealer malware là đánh cắp dữ liệu trình duyệt và chiếm quyền truy cập tài khoản qua cookie, token phiên và mật khẩu đã lưu. Nếu dữ liệu thanh toán hoặc IBAN bị lộ, nguy cơ rò rỉ dữ liệu nhạy cảm tăng lên đáng kể.
Do payload hoạt động trong bộ nhớ và né kiểm tra dựa trên file, khả năng phát hiện tấn công bằng cách quét tĩnh sẽ thấp hơn. Các hệ thống cần chú ý tới hành vi tiêm tiến trình, PowerShell ẩn và kết nối ra ngoài tới C2.
Biện pháp theo dõi và giảm thiểu
- Chặn lưu lượng ra ngoài tới 24.152.36.241:8080.
- Giám sát tiến trình PowerShell chạy ở chế độ ẩn.
- Phát hiện hành vi in-memory injection thay vì chỉ dựa vào file scanning.
- Bật multi-factor authentication cho tài khoản game, streaming và tài chính.
- Tránh tải mod, cheat hoặc công cụ game từ nguồn không tin cậy.
Về phía phòng thủ, các giải pháp endpoint security có khả năng phát hiện hoạt động tiêm bộ nhớ sẽ phù hợp hơn so với kiểm tra tệp thông thường. Trong bối cảnh LofyStealer malware, điều quan trọng là phát hiện chuỗi hành vi, không chỉ dựa trên hash hay tên file.
Tham chiếu kỹ thuật liên quan
Thông tin bổ sung về phân tích và bối cảnh mối đe dọa có thể đối chiếu tại tài liệu nghiên cứu công khai trên GitHub và các nguồn tình báo an ninh mạng uy tín, ví dụ trang theo dõi NVD của NIST khi cần tra cứu đối chiếu kỹ thuật với các lỗ hổng CVE liên quan đến thành phần bị khai thác trong chuỗi tấn công.
