Un grupo de cibercrimen de origen brasileño resurgió después de más de tres años y organizó una campaña dirigida a los jugadores de Minecraft utilizando un nuevo ladrón llamado LofyStealer (también conocido como GrabBot).
«Este malware se disfraza de un hack de Minecraft llamado ‘Slinky'», dijo en un informe técnico la empresa de ciberseguridad ZenoX, con sede en Brasil. «Explota la confianza de los usuarios jóvenes en la escena de los juegos al utilizar el ícono oficial del juego para inducir la ejecución espontánea».
Tenemos mucha confianza en que esta actividad es obra del actor de amenazas conocido como LofyGang. Se observó que el atacante aprovechaba paquetes de typosquatting en el registro npm en 2022 para impulsar malware ladrón específicamente para desviar datos de tarjetas de crédito y cuentas de usuario relacionadas con Discord Nitro, juegos y servicios de transmisión.
Se cree que el grupo ha estado activo desde finales de 2021, promocionando sus herramientas y servicios en plataformas como GitHub y YouTube, mientras contribuía a comunidades clandestinas de piratería bajo el alias DyPolarLofy, y ha comprometido miles de cuentas de Disney+ y Minecraft.
“Minecraft ha sido un objetivo de LofyGang desde 2022”, dijo a The Hacker News Acassio Silva, cofundador y jefe de inteligencia de amenazas de ZenoX. «Han filtrado miles de cuentas de Minecraft en Cracked.io bajo el alias DyPolarLofy. La campaña actual está rastreando directamente a los jugadores de Minecraft a través de un hack falso ‘Slinky'».
El ataque comienza con un hack de Minecraft y, cuando se lanza, desencadena la ejecución de un cargador de JavaScript que es, en última instancia, responsable de implementar LofyStealer (‘chromelevator.exe’). Este cargador es, en última instancia, responsable de implementar LofyStealer (‘chromelevator.exe’) en el host comprometido y se ejecuta directamente en la memoria. Su propósito es recopilar una amplia gama de datos confidenciales en múltiples navegadores web, incluidos Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox y Avast Browser.
Los datos capturados, incluidas cookies, contraseñas, tokens, tarjetas y números de cuentas bancarias internacionales (IBAN), se extraen a un servidor de comando y control (C2) ubicado en 24.152.36(.)241.
«Históricamente, el principal vector de este grupo ha sido la cadena de suministro de JavaScript, incluida la typosquatting de paquetes NPM, el starjacking (falsas referencias a repositorios legítimos de GitHub para exagerar la credibilidad) y cargas útiles integradas en subdependencias para evadir la detección», dijo ZenoX.
«El foco fue el robo de tokens de Discord, la modificación del cliente de Discord para la interceptación de tarjetas de crédito y la exfiltración a través de webhooks que explotan servicios legítimos (Discord, Repl.it, Glitch, GitHub y Heroku) como C2».
El último desarrollo marca un alejamiento del oficio observado anteriormente y un movimiento hacia un modelo de malware como servicio (MaaS) con niveles gratuitos y premium, así como un constructor personalizado llamado Slinky Cracked utilizado como vehículo de entrega de malware ladrón.
Esta revelación se produce cuando los actores de amenazas explotan cada vez más la confianza asociada con plataformas como GitHub para alojar repositorios falsos que sirven como alimento para familias de malware como SmartLoader, StealC Stealer y Vidar Stealer. Los usuarios desprevenidos son atraídos a estos repositorios mediante técnicas como el envenenamiento de SEO.
En algunos casos, se ha descubierto que los atacantes propagan Vidar 2.0 a través de publicaciones de Reddit que promocionan trucos falsos del juego Counter-Strike 2, redirigiendo a las víctimas a sitios web maliciosos que entregan archivos ZIP que contienen el malware.
«Esta campaña de robo de información resalta el desafío de seguridad actual que suponen plataformas ampliamente confiables que están siendo explotadas para distribuir cargas útiles maliciosas», dijo Acronis en un análisis publicado el mes pasado. «Al aprovechar la confianza social y los canales de descarga comunes, los atacantes a menudo pueden eludir las soluciones de seguridad tradicionales».
Este hallazgo se suma a una lista cada vez mayor de campañas impulsadas por GitHub en los últimos meses.
Se dirige directamente a los desarrolladores dentro de GitHub y utiliza alertas de seguridad falsas de Microsoft Visual Studio Code (VS Code) publicadas a través de discusiones para engañar a los usuarios para que hagan clic en un enlace e instalen malware. «Las discusiones de GitHub activan notificaciones por correo electrónico para los participantes y observadores, por lo que estas publicaciones también se envían directamente a las bandejas de entrada de los desarrolladores», dijo Socket. «Esto amplía el alcance de la campaña más allá del propio GitHub, haciendo que las alertas parezcan más legítimas». Utilizan correos electrónicos de phishing dirigidos al sistema judicial de Argentina y distribuyen archivos ZIP comprimidos que utilizan un script por lotes intermedio para recuperar un troyano de acceso remoto (RAT) alojado en GitHub. Crear una cuenta de GitHub y una aplicación OAuth y luego abrir un problema que menciona al desarrollador objetivo activa una notificación por correo electrónico que engaña al desarrollador para que autentique la aplicación OAuth, lo que permite efectivamente al atacante obtener un token de acceso. Este problema tiene como objetivo crear una falsa sensación de urgencia y alertar a los usuarios sobre intentos de acceso inusuales. Los repositorios maliciosos de GitHub se utilizan para distribuir instaladores de scripts por lotes maliciosos disfrazados de software de seguridad y TI legítimo, lo que lleva a la implementación del descargador TookPS, que luego inicia una cadena de infección de varios pasos para establecer un acceso remoto persistente utilizando túneles inversos SSH y RAT como MineBridge RAT (también conocido como TeviRAT). Se cree que esta actividad es realizada por Rift Brigantine (también conocido como FIN11, Graceful Spider, TA505). Se utilizan repositorios falsos de GitHub disfrazados de herramientas de inteligencia artificial, trucos de juegos, scripts de Roblox, rastreadores de ubicación de números de teléfono y crackers de VPN para distribuir cargas útiles de LuaJIT que actúan como troyanos de propósito general como parte de una campaña llamada TroyDen’s Lure Factory.
«La amplitud de las fábricas de señuelos, que incluyen trucos de juegos, herramientas de desarrollo, rastreadores de teléfonos, scripts de Roblox y crackers de VPN, sugiere que los atacantes están optimizando el volumen general de audiencia en lugar de apuntar con precisión», dijo Netskope.
«Los defensores deberían tratar las descargas alojadas en GitHub que combinan intérpretes renombrados y archivos de datos opacos como candidatos de clasificación de alta prioridad, independientemente de cuán legítimos parezcan los repositorios circundantes».
Source link
