Un grupo de cibercrimen de origen brasileño ha resurgido después de más de tres años para orquestar una campaña que apunta a los jugadores de Minecraft con un nuevo ladrón llamado LofyStealer (también conocido como GrabBot).

«El malware se disfraza como un hack de Minecraft llamado ‘Slinky’», afirma la empresa de ciberseguridad ZenoX, con sede en Brasil. dicho en un informe técnico. «Utiliza el ícono oficial del juego para inducir la ejecución voluntaria, explotando la confianza de los usuarios jóvenes en la escena de los juegos».

La actividad se ha atribuido con gran confianza a un actor de amenazas conocido como LofyGang, al que se observó aprovechando paquetes con errores tipográficos en el registro npm para impulsar malware ladrón en 2022, específicamente con la intención de desviar datos de tarjetas de crédito y cuentas de usuario asociadas con Discord Nitro, juegos y servicios de transmisión.

El grupo, que se cree que está activo desde finales de 2021, anuncia sus herramientas y servicios en plataformas como GitHub y YouTube, al tiempo que contribuye a una comunidad de hackers clandestina bajo el alias DyPolarLofy para filtrar miles de cuentas de Disney+ y Minecraft.

«Minecraft ha sido un objetivo de LofyGang desde 2022», dijo a The Hacker News Acassio Silva, cofundador y jefe de inteligencia de amenazas de ZenoX. «Filtraron miles de cuentas de Minecraft bajo el alias DyPolarLofy en Cracked.io. La campaña actual persigue a los jugadores de Minecraft directamente a través de un hack falso ‘Slinky’».

El ataque comienza con un hack de Minecraft que, cuando se inicia, activa la ejecución de un cargador de JavaScript que es en última instancia responsable de la implementación de LofyStealer («chromelevator.exe») en hosts comprometidos y lo ejecuta directamente en la memoria con el objetivo de recopilar una amplia gama de datos confidenciales que abarcan múltiples navegadores web, incluidos Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox y Avast Browser.

Los datos capturados, que incluyen cookies, contraseñas, tokens, tarjetas y números de cuentas bancarias internacionales (IBAN), se extraen a un servidor de comando y control (C2) ubicado en 24.152.36.[.]241.

«Históricamente, el vector principal del grupo fue la cadena de suministro de JavaScript: typosquatting de paquetes NPM, starjacking (referencias fraudulentas a repositorios legítimos de GitHub para inflar la credibilidad) y cargas útiles integradas en subdependencias para evadir la detección», dijo ZenoX.

«La atención se centró en el robo de tokens de Discord, la modificación del cliente de Discord para la interceptación de tarjetas de crédito y la exfiltración a través de webhooks que abusan de servicios legítimos (Discord, Repl.it, Glitch, GitHub y Heroku) como C2».

El último desarrollo marca un alejamiento del oficio observado anteriormente y un cambio hacia un modelo de malware como servicio (MaaS) con niveles gratuitos y premium, junto con un constructor personalizado llamado Slinky Cracked que se utiliza como vehículo de entrega para el malware ladrón.

La divulgación se produce cuando los actores de amenazas abusan cada vez más de la confianza asociada con una plataforma como GitHub para alojar repositorios falsos que actúan como señuelos para familias de malware como SmartLoader, StealC Stealer y Vidar Stealer. Los usuarios desprevenidos son dirigidos a estos repositorios mediante técnicas como el envenenamiento de SEO.

En algunos casos, se ha descubierto que los atacantes propagan Vidar 2.0 a través de publicaciones de Reddit que anuncian trucos falsos del juego Counter-Strike 2, redirigiendo a las víctimas a un sitio web malicioso que entrega un archivo ZIP que contiene el malware.

«Esta campaña de robo de información destaca un desafío de seguridad continuo en el que se abusa de plataformas ampliamente confiables para distribuir cargas útiles maliciosas», Acronis dicho en un análisis publicado el mes pasado. «Al aprovechar la confianza social y los canales de descarga comunes, los actores de amenazas a menudo pueden eludir las soluciones de seguridad tradicionales».

Los hallazgos se suman a una lista cada vez mayor de campañas que han aprovechado GitHub en los últimos meses:

• Dirigirse a los desarrolladores directamente dentro de GitHub, utilizando alertas de seguridad falsas de Microsoft Visual Studio Code (VS Code) publicadas a través de Discusiones para engañar a los usuarios para que instalen malware haciendo clic en un enlace. «Debido a que las Discusiones de GitHub activan notificaciones por correo electrónico para los participantes y observadores, estas publicaciones también se envían directamente a las bandejas de entrada de los desarrolladores», Socket dicho. «Esto extiende el alcance de la campaña más allá del propio GitHub y hace que las alertas parezcan más legítimas».
• Apuntando a los sistemas judiciales de Argentina usar correos electrónicos de phishing para distribuir un archivo ZIP comprimido que utiliza un script por lotes intermedio para recuperar un troyano de acceso remoto (RAT) alojado en GitHub.
• Creando Cuentas GitHub y aplicaciones OAuthseguido de abrir un problema que menciona a un desarrollador objetivo, lo que activa una notificación por correo electrónico que, a su vez, lo engaña para que autorice la aplicación OAuth, lo que permite efectivamente al atacante obtener sus tokens de acceso. Los problemas tienen como objetivo inducir una falsa sensación de urgencia, advirtiendo a los usuarios sobre intentos de acceso inusuales.
• Usar repositorios fraudulentos de GitHub para distribuir instaladores de scripts por lotes maliciosos que se hacen pasar por software de seguridad y TI legítimo, lo que lleva a la implementación del descargador TookPS, que luego inicia una cadena de infección de varias etapas para establecer un acceso remoto persistente utilizando túneles inversos SSH y RAT como MineBridge RAT (también conocido como TeviRAT). La actividad ha sido atribuida a Bergantín de la grieta (también conocido como FIN11, Graceful Spider y TA505).
• Usar repositorios de GitHub falsificados que se hacen pasar por herramientas de inteligencia artificial, trucos de juegos, scripts de Roblox, rastreadores de ubicación de números de teléfono y crackers de VPN para distribuir Cargas útiles de LuaJIT que funciona como un troyano genérico como parte de una campaña denominada TroyDen’s Lure Factory.

«La amplitud de la fábrica de señuelos (trucos de juegos, herramientas de desarrollo, rastreadores de teléfonos, scripts de Roblox, crackers de VPN) sugiere un actor que optimiza el volumen entre audiencias en lugar de apuntar con precisión», dijo Netskope.

«Los defensores deben tratar cualquier descarga alojada en GitHub que combine un intérprete renombrado con un archivo de datos opaco como un candidato de clasificación de alta prioridad, independientemente de cuán legítimo parezca el repositorio circundante».