Um grupo de cibercrime de origem brasileira reapareceu após mais de três anos para orquestrar uma campanha voltada a jogadores de Minecraft com um novo stealer chamado LofyStealer, também conhecido como GrabBot.
“O malware se disfarça como um hack para Minecraft chamado ‘Slinky’”, informou a empresa brasileira de cibersegurança ZenoX em um relatório técnico.
“Ele usa o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança de usuários jovens no cenário gamer.”
A atividade foi atribuída com alta confiança a um threat actor conhecido como LofyGang, que já havia sido visto em 2022 usando pacotes com nomes semelhantes aos legítimos no repositório npm para distribuir malware do tipo stealer, com o objetivo de roubar dados de cartão de crédito e contas de usuário ligadas ao Discord Nitro, a jogos e a serviços de streaming.
O grupo, que se acredita estar ativo desde o fim de 2021, divulga suas ferramentas e serviços em plataformas como GitHub e YouTube, além de contribuir para uma comunidade hacker clandestina sob o alias DyPolarLofy, usado para vazar milhares de contas do Disney+ e do Minecraft.
“Minecraft tem sido um alvo do LofyGang desde 2022”, afirmou Acassio Silva, cofundador e chefe de inteligência de ameaças da ZenoX.
“Eles vazaram milhares de contas de Minecraft sob o alias DyPolarLofy no Cracked.io.
A campanha atual mira diretamente jogadores de Minecraft por meio de um falso hack ‘Slinky’.”
O ataque começa com um hack para Minecraft que, ao ser executado, aciona o carregamento de um loader em JavaScript, responsável por implantar o LofyStealer, identificado como “chromelevator.exe”, em máquinas comprometidas e executá-lo diretamente na memória.
O objetivo é coletar uma ampla variedade de dados sensíveis em vários navegadores, incluindo Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser.
Os dados capturados, entre eles cookies, senhas, tokens, cartões e números internacionais de conta bancária, são exfiltrados para um servidor de command and control (C2) localizado em 24.152.36[.]241.
“Historicamente, o principal vetor do grupo era a supply chain em JavaScript: typosquatting de pacotes npm, starjacking, isto é, referências fraudulentas a repositórios legítimos no GitHub para inflar a credibilidade, e payloads incorporados em subdependências para evitar a detecção”, disse a ZenoX.
“O foco estava no roubo de tokens do Discord, na modificação do cliente do Discord para interceptação de dados de cartão de crédito e na exfiltração por webhooks, abusando de serviços legítimos como Discord, Repl.it, Glitch, GitHub e Heroku como C2.”
A nova fase marca uma mudança em relação às táticas observadas anteriormente e aponta para um modelo malware-as-a-service (MaaS), com planos gratuitos e pagos, além de um builder personalizado chamado Slinky Cracked, usado como veículo de entrega do malware de roubo de informações.
A divulgação ocorre em meio ao aumento do abuso da confiança associada a plataformas como o GitHub, usadas por threat actors para hospedar repositórios falsos que servem de isca para famílias como SmartLoader, StealC Stealer e Vidar Stealer.
Usuários desavisados são levados a esses repositórios por técnicas como envenenamento de SEO.
Em alguns casos, os ataques foram usados para espalhar Vidar 2.0 por meio de posts no Reddit que anunciavam cheats falsos para o jogo Counter-Strike 2, redirecionando as vítimas para um site malicioso que entregava um arquivo ZIP com o malware.
“Essa campanha de infostealer destaca um desafio de segurança contínuo, no qual plataformas amplamente confiáveis são abusadas para distribuir payloads maliciosos”, disse a Acronis em uma análise publicada no mês passado.
“Ao se aproveitar da confiança social e de canais comuns de download, threat actors frequentemente conseguem burlar soluções tradicionais de segurança.”
As descobertas se somam a uma lista crescente de campanhas que exploraram o GitHub nos últimos meses:
Direcionamento a desenvolvedores diretamente dentro do GitHub, usando alertas falsos de segurança do Microsoft Visual Studio Code, ou VS Code, publicados por meio de Discussions para enganar usuários e levá-los a instalar malware ao clicar em um link.
“Como o GitHub Discussions aciona notificações por e-mail para participantes e seguidores, essas publicações também são entregues diretamente às caixas de entrada dos desenvolvedores”, disse a Socket.
“Isso amplia o alcance da campanha para além do próprio GitHub e faz os alertas parecerem mais legítimos.”
Ataques aos sistemas judiciais da Argentina usando e-mails de spear phishing para distribuir um arquivo ZIP compactado que emprega um script batch intermediário para buscar um remote access trojan, ou RAT, hospedado no GitHub.
Criação de contas no GitHub e de aplicativos OAuth, seguida da abertura de um issue que menciona um desenvolvedor-alvo, o que dispara uma notificação por e-mail e, por sua vez, induz a vítima a autorizar o aplicativo OAuth, permitindo ao atacante obter seus tokens de acesso.
Os issues buscam gerar uma falsa sensação de urgência, alertando os usuários sobre tentativas incomuns de acesso.
Uso de repositórios falsificados no GitHub para distribuir instaladores maliciosos em script batch disfarçados de softwares legítimos de TI e segurança, levando à instalação do downloader TookPS, que então inicia uma cadeia de infecção em múltiplas etapas para estabelecer acesso remoto persistente por meio de túneis reversos SSH e RATs como o MineBridge RAT, também conhecido como TeviRAT.
A atividade foi atribuída ao Rift Brigantine, também identificado como FIN11, Graceful Spider e TA505.
Uso de repositórios falsos no GitHub que se passam por ferramentas de IA, cheats de jogos, scripts para Roblox, rastreadores de localização de números de telefone e crackers de VPN para distribuir payloads em LuaJIT que funcionam como um trojan genérico, em uma campanha chamada TroyDen's Lure Factory.
“A amplitude da fábrica de iscas, cheats de jogos, ferramentas para desenvolvedores, rastreadores de telefone, scripts para Roblox e crackers de VPN sugere um ator otimizado para volume entre diferentes públicos, e não para alvos precisos”, afirmou a Netskope.
“Defensores devem tratar qualquer download hospedado no GitHub que combine um interpretador renomeado com um arquivo de dados opaco como candidato prioritário a triagem, independentemente de quão legítimo pareça o repositório ao redor.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...