一个伪装成《我的世界》作弊工具的恶意程序,正在全球玩家的电脑上无声运行。它不弹窗、不卡顿,却能把你Chrome里存的密码、Edge里的银行卡号、Firefox里的登录状态,全部打包发走。
安全团队Zenox.ai在ANY.RUN沙箱上捕获了这场攻击的完整链条。他们发现,这背后是一个来自巴西的网络犯罪组织——而他们的"商业模式",已经成熟到让人不安。
一张图看懂攻击全貌
整个攻击可以用三个阶段概括:社会工程诱饵→内存级注入→数据收割变现。
第一阶段,攻击者把恶意程序包装成名为"Slinky"的Minecraft作弊器,连图标都用了游戏官方素材。目标人群很明确:年轻玩家,习惯从非官方渠道下载模组和辅助工具。
第二阶段,程序运行后没有任何可见提示,后台静默启动。它先用一个Node.js编写的加载器(load.exe)扫描Windows注册表,定位电脑上安装的浏览器——Chrome、Edge、Brave、Opera GX、Firefox等八款主流产品全部在列。
第三阶段是技术核心:加载器将目标浏览器以"挂起状态"启动,在进程完全激活前暂停它,然后把用C++编写的第二段载荷(chromelevator.exe)直接映射进浏览器内存。整个过程不写入硬盘,传统杀毒软件很难察觉。
注入完成后,恶意代码在浏览器内部运行,提取Cookie、保存的密码、支付卡信息、活跃会话令牌,甚至IBAN国际银行账号。数据通过位于巴西某小型数据中心的C2服务器(IP:24.152.36.241)外传。
为什么选Minecraft?人群即漏洞
这不是随机撒网。Minecraft的全球玩家基数超过1.4亿,其中相当一部分是未成年人或年轻成年人——正是最愿意为了"游戏体验"冒险下载来路不明软件的人群。
攻击者深谙此道。"Slinky"这个名字本身就是在模仿游戏内道具的命名风格,图标直接盗用官方资源,文件大小和正常作弊器无异。对于目标用户来说,辨别真伪需要的技术知识远超其平均水平。
更关键的是心理账户:玩家对"作弊器"本身就有预期——它本来就要修改游戏内存、绕过反作弊检测,被杀毒软件拦截是"正常现象"。这种预设让受害者主动关闭安全提示,亲手放行恶意程序。
安全研究员在代码中发现了硬编码的巴西葡萄牙语字符串,结合C2服务器的地理位置,将攻击归因于LofyGang组织。该组织最早由Checkmarx在2022年10月追踪曝光,当时主要通过NPM软件包注册表发起JavaScript供应链攻击。两年过去,他们的技术栈和商业模式都已升级。
恶意软件即服务:犯罪也有SaaS化
LofyStealer的运作方式揭示了网络犯罪产业化的一个切面。它并非单一攻击工具,而是一个"恶意软件即服务"(MaaS)平台,通过网页仪表盘向买家提供分级订阅。
免费版功能受限,付费用户则能解锁完整套件:受害者管理面板、名为"Slinky Cracked"的自定义可执行文件生成器,以及对被控机器的实时监控。这种结构让技术能力有限的犯罪分子也能发起专业级攻击,极大扩展了威胁覆盖面。
C2面板的自我标识是"LofyStealer, Advanced C2 Platform V2.0"——版本号暗示这不是初版产品,而是经过迭代优化的成熟系统。从供应链投毒到游戏社交工程,从单一载荷到内存注入+浏览器劫持,LofyGang的演进轨迹清晰可见。
这种"产品化"思维值得警惕。当网络攻击开始模仿正经科技公司的运营方式——分层定价、持续迭代、降低使用门槛——防御方的压力会指数级上升。你面对的不再是孤立的黑客,而是一个有组织、有反馈、有商业闭环的生态系统。
内存注入:杀毒软件的盲区
这次攻击的技术亮点在于chromelevator.exe的投递方式。传统恶意软件要么落地为文件再执行,要么利用漏洞直接运行,都会留下可被检测的痕迹。LofyStealer选择了一条更隐蔽的路径:进程空洞化(Process Hollowing)的变体操作。
具体而言,加载器先以挂起状态创建合法浏览器进程,此时进程已分配内存空间但尚未加载实际代码。然后它卸载原始映像,将恶意载荷映射到同一内存区域,最后恢复进程执行。从操作系统视角看,这是一个正常的浏览器进程;从内存扫描视角看,载荷从未以独立文件形式存在。
这种技术并非LofyGang首创,但将其与游戏作弊场景结合、针对浏览器这一高价值目标进行优化,体现了攻击设计的针对性。浏览器内存中存储着大量敏感凭证:自动填充的密码、保持登录状态的Cookie、甚至未关闭的网银标签页。直接在里面"翻找",比键盘记录或屏幕截图高效得多。
对于终端防护产品而言,这类攻击构成了持续挑战。基于文件签名的检测完全失效,行为分析需要区分"浏览器正常读写配置"和"恶意代码遍历凭证存储"的细微差别,内存扫描则面临性能与覆盖率的权衡。LofyStealer的设计显然研究过这些防御机制的弱点。
玩家社区的信任危机
事件暴露了一个长期存在的安全灰色地带:游戏模组和辅助工具的分发生态。Minecraft的开放性造就了繁荣的第三方内容市场,但也成为恶意软件的温床。官方启动器、CurseForge等主流平台有一定审核机制,但更多工具通过Discord服务器、私人网站、网盘链接流通,没有任何安全把关。
"Slinky"的传播路径尚未完全公开,但类似攻击通常依赖视频平台引流——YouTube或TikTok上的"免费作弊器教程"附带下载链接,评论区还有托儿反馈"亲测有效"。这种闭环利用了平台算法的推荐机制和社区文化的封闭性:愿意搜索作弊器的用户,本身就在主动寻找绕过规则的方法,对"官方渠道"的信任度较低。
更值得深思的是代际差异。年轻玩家成长于数字原生环境,对技术风险的感知却未必同步。他们可能熟练操作复杂模组安装流程,却不理解"以管理员权限运行未知程序"意味着什么;他们可能在意账号被盗的游戏内损失,却低估浏览器凭证泄露对现实财务的威胁。攻击者精准利用了这种认知落差。
防御建议:在诱惑面前设卡
对于普通玩家,最实际的防护是切断攻击链的第一环。任何要求关闭杀毒软件、以管理员权限运行、或从非官方渠道下载的"游戏辅助",都应视为高风险操作。Minecraft官方及主流平台(如CurseForge、Modrinth)的审核虽非万无一失,但比随机链接可靠数个数量级。
浏览器层面的缓解措施包括:对敏感网站启用双重认证(2FA),这样即使密码被盗,攻击者也无法直接登录;使用密码管理器的自动填充而非浏览器内置保存功能,减少内存中明文凭证的暴露面;定期检查活跃会话并清理不再使用的设备授权。
企业安全团队则需关注这类攻击的横向移动潜力。个人游戏电脑与工作环境的安全边界日益模糊,同一台机器可能既登录Steam账号,也访问公司VPN。MaaS平台的普及意味着针对性攻击的成本持续下降,"低价值目标"的划分标准需要重新评估。
数据收束
这场攻击的完整画像:8款浏览器被针对性覆盖,5类敏感数据成为收割目标,1个巴西IP地址暴露攻击源头,2个技术阶段实现无文件落地,2级订阅模式支撑犯罪商业化——免费版引流,高级版解锁完整 victim 管理面板和实时监控。
从2022年的NPM供应链攻击到今天的游戏社交工程,LofyGang的演进说明:网络犯罪的"产品创新"从未停止。他们研究用户心理、优化技术路径、迭代商业模式,其专业度不亚于任何一家SaaS创业公司。而防御方的挑战在于,我们既要保护用户免于技术漏洞,也要帮助他们识破精心设计的诱惑——后者往往更难。
热门跟贴