{"id":698,"date":"2026-04-28T20:36:05","date_gmt":"2026-04-28T20:36:05","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/la-lofygang-brasilena-resurge-despues-de-tres-anos-con-la-campana-minecraft-lofystealer-cyberdefensa-mx\/"},"modified":"2026-04-28T20:36:05","modified_gmt":"2026-04-28T20:36:05","slug":"la-lofygang-brasilena-resurge-despues-de-tres-anos-con-la-campana-minecraft-lofystealer-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/28\/la-lofygang-brasilena-resurge-despues-de-tres-anos-con-la-campana-minecraft-lofystealer-cyberdefensa-mx\/","title":{"rendered":"La LofyGang brasile\u00f1a resurge despu\u00e9s de tres a\u00f1os con la campa\u00f1a Minecraft LofyStealer \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un grupo de cibercrimen de origen brasile\u00f1o ha resurgido despu\u00e9s de m\u00e1s de tres a\u00f1os para orquestar una campa\u00f1a que apunta a los jugadores de Minecraft con un nuevo ladr\u00f3n llamado LofyStealer<\/strong> (tambi\u00e9n conocido como GrabBot).<\/p>\n

\u00abEl malware se disfraza como un hack de Minecraft llamado ‘Slinky’\u00bb, afirma la empresa de ciberseguridad ZenoX, con sede en Brasil. dicho<\/a> en un informe t\u00e9cnico. \u00abUtiliza el \u00edcono oficial del juego para inducir la ejecuci\u00f3n voluntaria, explotando la confianza de los usuarios j\u00f3venes en la escena de los juegos\u00bb.<\/p>\n

La actividad se ha atribuido con gran confianza a un actor de amenazas conocido como LofyGang, al que se observ\u00f3 aprovechando paquetes con errores tipogr\u00e1ficos en el registro npm para impulsar malware ladr\u00f3n en 2022, espec\u00edficamente con la intenci\u00f3n de desviar datos de tarjetas de cr\u00e9dito y cuentas de usuario asociadas con Discord Nitro, juegos y servicios de transmisi\u00f3n.<\/p>\n

El grupo, que se cree que est\u00e1 activo desde finales de 2021, anuncia sus herramientas y servicios en plataformas como GitHub y YouTube, al tiempo que contribuye a una comunidad de hackers clandestina bajo el alias DyPolarLofy para filtrar miles de cuentas de Disney+ y Minecraft.<\/p>\n

\u00abMinecraft ha sido un objetivo de LofyGang desde 2022\u00bb, dijo a The Hacker News Acassio Silva, cofundador y jefe de inteligencia de amenazas de ZenoX. \u00abFiltraron miles de cuentas de Minecraft bajo el alias DyPolarLofy en Cracked.io. La campa\u00f1a actual persigue a los jugadores de Minecraft directamente a trav\u00e9s de un hack falso ‘Slinky’\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El ataque comienza con un hack de Minecraft que, cuando se inicia, activa la ejecuci\u00f3n de un cargador de JavaScript que es en \u00faltima instancia responsable de la implementaci\u00f3n de LofyStealer (\u00abchromelevator.exe\u00bb) en hosts comprometidos y lo ejecuta directamente en la memoria con el objetivo de recopilar una amplia gama de datos confidenciales que abarcan m\u00faltiples navegadores web, incluidos Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox y Avast Browser.<\/p>\n

Los datos capturados, que incluyen cookies, contrase\u00f1as, tokens, tarjetas y n\u00fameros de cuentas bancarias internacionales (IBAN), se extraen a un servidor de comando y control (C2) ubicado en 24.152.36.[.]241.<\/p>\n

\u00abHist\u00f3ricamente, el vector principal del grupo fue la cadena de suministro de JavaScript: typosquatting de paquetes NPM, starjacking (referencias fraudulentas a repositorios leg\u00edtimos de GitHub para inflar la credibilidad) y cargas \u00fatiles integradas en subdependencias para evadir la detecci\u00f3n\u00bb, dijo ZenoX.<\/p>\n

\u00abLa atenci\u00f3n se centr\u00f3 en el robo de tokens de Discord, la modificaci\u00f3n del cliente de Discord para la interceptaci\u00f3n de tarjetas de cr\u00e9dito y la exfiltraci\u00f3n a trav\u00e9s de webhooks que abusan de servicios leg\u00edtimos (Discord, Repl.it, Glitch, GitHub y Heroku) como C2\u00bb.<\/p>\n

El \u00faltimo desarrollo marca un alejamiento del oficio observado anteriormente y un cambio hacia un modelo de malware como servicio (MaaS) con niveles gratuitos y premium, junto con un constructor personalizado llamado Slinky Cracked que se utiliza como veh\u00edculo de entrega para el malware ladr\u00f3n.<\/p>\n

\"\"<\/a><\/div>\n

La divulgaci\u00f3n se produce cuando los actores de amenazas abusan cada vez m\u00e1s de la confianza asociada con una plataforma como GitHub para alojar repositorios falsos<\/a> que act\u00faan como se\u00f1uelos para familias de malware<\/a> como SmartLoader, StealC Stealer y Vidar Stealer. Los usuarios desprevenidos son dirigidos a estos repositorios mediante t\u00e9cnicas como el envenenamiento de SEO.<\/p>\n

En algunos casos, se ha descubierto que los atacantes propagan Vidar 2.0 a trav\u00e9s de publicaciones de Reddit que anuncian trucos falsos del juego Counter-Strike 2, redirigiendo a las v\u00edctimas a un sitio web malicioso que entrega un archivo ZIP que contiene el malware.<\/p>\n

\u00abEsta campa\u00f1a de robo de informaci\u00f3n destaca un desaf\u00edo de seguridad continuo en el que se abusa de plataformas ampliamente confiables para distribuir cargas \u00fatiles maliciosas\u00bb, Acronis dicho<\/a> en un an\u00e1lisis publicado el mes pasado. \u00abAl aprovechar la confianza social y los canales de descarga comunes, los actores de amenazas a menudo pueden eludir las soluciones de seguridad tradicionales\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Los hallazgos se suman a una lista cada vez mayor de campa\u00f1as que han aprovechado GitHub en los \u00faltimos meses:<\/p>\n