2026-04-28 00:00
← VoltarUm grupo de crimes cibernéticos de origem brasileira ressurgiu depois de mais de três anos para orquestrar uma campanha que visa jogadores de Minecraft com um novo ladrão chamado LofyStealer (também conhecido como GrabBot). “O malware se disfarça como um hack do Minecraft chamado ‘Slinky’”, disse a empresa brasileira de segurança cibernética ZenoX em um relatório técnico. “Ele usa o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança dos jovens usuários no cenário dos jogos”. A atividade foi atribuída com grande confiança a um ator de ameaça conhecido como LofyGang, que foi observado aproveitando pacotes typosquatted no registro npm para enviar malware ladrão em 2022, especificamente com a intenção de desviar dados de cartão de crédito e contas de usuário associadas ao Discord Nitro, jogos e serviços de streaming. O grupo, que se acredita estar ativo desde o final de 2021, anuncia suas ferramentas e serviços em plataformas como GitHub e YouTube, ao mesmo tempo que contribui para uma comunidade de hackers clandestina sob o pseudônimo DyPolarLofy para vazar milhares de contas Disney+ e Minecraft. “O Minecraft tem sido alvo do LofyGang desde 2022”, disse Acassio Silva, cofundador e chefe de inteligência de ameaças da ZenoX, ao The Hacker News. “Eles vazaram milhares de contas do Minecraft sob o pseudônimo DyPolarLofy no Cracked.io. A campanha atual vai atrás dos jogadores do Minecraft diretamente por meio de um falso hack ‘Slinky’.” O ataque começa...
Um grupo de crimes cibernéticos de origem brasileira ressurgiu depois de mais de três anos para orquestrar uma campanha que visa jogadores de Minecraft com um novo ladrão chamado LofyStealer (também conhecido como GrabBot). “O malware se disfarça como um hack do Minecraft chamado ‘Slinky’”, disse a empresa brasileira de segurança cibernética ZenoX em um relatório técnico. “Ele usa o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança dos jovens usuários no cenário dos jogos”. A atividade foi atribuída com grande confiança a um ator de ameaça conhecido como LofyGang, que foi observado aproveitando pacotes typosquatted no registro npm para enviar malware ladrão em 2022, especificamente com a intenção de desviar dados de cartão de crédito e contas de usuário associadas ao Discord Nitro, jogos e serviços de streaming. O grupo, que se acredita estar ativo desde o final de 2021, anuncia suas ferramentas e serviços em plataformas como GitHub e YouTube, ao mesmo tempo que contribui para uma comunidade de hackers clandestina sob o pseudônimo DyPolarLofy para vazar milhares de contas Disney+ e Minecraft. “O Minecraft tem sido alvo do LofyGang desde 2022”, disse Acassio Silva, cofundador e chefe de inteligência de ameaças da ZenoX, ao The Hacker News. “Eles vazaram milhares de contas do Minecraft sob o pseudônimo DyPolarLofy no Cracked.io. A campanha atual vai atrás dos jogadores do Minecraft diretamente por meio de um falso hack ‘Slinky’.” O ataque começa com um hack do Minecraft que, quando lançado, aciona a execução de um carregador JavaScript que é responsável pela implantação do LofyStealer ("chromelevator.exe") em hosts comprometidos e executá-lo diretamente na memória com o objetivo de coletar uma ampla gama de dados confidenciais abrangendo vários navegadores da web, incluindo Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser.
Os dados capturados, que incluem cookies, senhas, tokens, cartões e números de contas bancárias internacionais (IBANs), são exfiltrados para um servidor de comando e controle (C2) localizado em 24.152.36[.]241. “Historicamente, o vetor principal do grupo era a cadeia de suprimentos de JavaScript: typosquatting de pacotes NPM, starjacking (referências fraudulentas a repositórios legítimos do GitHub para aumentar a credibilidade) e cargas incorporadas em subdependências para evitar a detecção”, disse ZenoX. “O foco estava no roubo de token Discord, modificação do cliente Discord para interceptação de cartão de crédito e exfiltração via webhooks que abusam de serviços legítimos (Discord, Repl.it, Glitch, GitHub e Heroku) como C2.” O desenvolvimento mais recente marca um afastamento do comércio observado anteriormente e uma mudança em direção a um modelo de malware como serviço (MaaS) com níveis gratuitos e premium, juntamente com um construtor personalizado chamado Slinky Cracked, que é usado como veículo de entrega para o malware ladrão. A divulgação ocorre no momento em que os agentes de ameaças estão abusando cada vez mais da onipresença e da confiança associadas ao GitHub para hospedar repositórios falsos que atuam como iscas para famílias de software formal, como SmartLoader, StealC Stealer e Vidar Stealer. Usuários desavisados são direcionados a esses repositórios por meio de técnicas como envenenamento de SEO. Em alguns casos, descobriu-se que os invasores espalharam o Vidar 2.0 por meio de postagens do Reddit anunciando cheats falsos do jogo Counter-Strike 2, redirecionando as vítimas para um site malicioso que entrega um arquivo ZIP contendo o malware. “Esta campanha de infostealer destaca um desafio contínuo de segurança, onde plataformas amplamente confiáveis são abusadas para distribuir cargas maliciosas”, disse Acronissaid em uma análise publicada no mês passado. “Ao aproveitar a confiança social e os canais de download comuns, os agentes de ameaças muitas vezes conseguem contornar as soluções de segurança tradicionais”.
As descobertas se somam a uma lista crescente de campanhas que alavancaram o GitHub nos últimos meses - "A amplitude da fábrica de iscas - cheats para jogos, ferramentas para desenvolvedores, rastreadores de telefone, scripts Roblox, crackers VPN - sugere um ator otimizando o volume entre públicos em vez de segmentação de precisão", disse Netskope. "Os defensores devem tratar qualquer download hospedado no GitHub que p exibe um intérprete renomeado com um arquivo de dados opaco como um candidato de triagem de alta prioridade, independentemente de quão legítimo o repositório circundante pareça." Aprenda como interromper ataques do paciente zero antes que eles contornem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor - tudo de graça.