🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de crimes cibernéticos de origem brasileira ressurgiu depois de mais de três anos para orquestrar uma campanha que visa jogadores de Minecraft com um novo ladrão chamado LofyStealer (também conhecido como GrabBot).
“O malware se disfarça como um hack do Minecraft chamado ‘Slinky'”, disse a empresa brasileira de segurança cibernética ZenoX em um relatório técnico. “Ele usa o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança dos jovens usuários no cenário dos jogos”.
A atividade foi atribuída com grande confiança a um ator de ameaça conhecido como LofyGang, que foi observado aproveitando pacotes typosquatted no registro npm para enviar malware ladrão em 2022, especificamente com a intenção de desviar dados de cartão de crédito e contas de usuário associadas ao Discord Nitro, jogos e serviços de streaming.
O grupo, que se acredita estar ativo desde o final de 2021, anuncia suas ferramentas e serviços em plataformas como GitHub e YouTube, ao mesmo tempo que contribui para uma comunidade de hackers clandestina sob o pseudônimo DyPolarLofy para vazar milhares de contas do Disney+ e do Minecraft.
“O Minecraft tem sido alvo do LofyGang desde 2022”, disse Acassio Silva, cofundador e chefe de inteligência de ameaças da ZenoX, ao The Hacker News. “Eles vazaram milhares de contas do Minecraft sob o pseudônimo DyPolarLofy no Cracked.io. A campanha atual vai atrás dos jogadores do Minecraft diretamente por meio de um falso hack ‘Slinky’.”
O ataque começa com um hack do Minecraft que, quando lançado, aciona a execução de um carregador JavaScript que é responsável pela implantação do LofyStealer ("chromelevator.exe") em hosts comprometidos e executá-lo diretamente na memória com o objetivo de coletar uma ampla gama de dados confidenciais abrangendo vários navegadores da web, incluindo Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser.
Os dados capturados, que incluem cookies, senhas, tokens, cartões e números de contas bancárias internacionais (IBANs), são exfiltrados para um servidor de comando e controle (C2) localizado em 24.152.36[.]241.
“Historicamente, o vetor principal do grupo era a cadeia de suprimentos de JavaScript: typosquatting de pacotes NPM, starjacking (referências fraudulentas a repositórios legítimos do GitHub para aumentar a credibilidade) e cargas incorporadas em subdependências para evitar a detecção”, disse ZenoX.
“O foco estava no roubo de token Discord, modificação do cliente Discord para interceptação de cartão de crédito e exfiltração via webhooks que abusam de serviços legítimos (Discord, Repl.it, Glitch, GitHub e Heroku) como C2.”
O desenvolvimento mais recente marca um afastamento do comércio observado anteriormente e uma mudança em direção a um modelo de malware como serviço (MaaS) com níveis gratuitos e premium, juntamente com um construtor personalizado chamado Slinky Cracked, que é usado como veículo de entrega para o malware ladrão.
A divulgação ocorre no momento em que os agentes de ameaças estão abusando cada vez mais da confiança associada a uma plataforma como o GitHub para hospedar repositórios falsos que atuam como iscas para famílias de malware como SmartLoader, StealC Stealer e Vidar Stealer. Usuários desavisados são direcionados a esses repositórios por meio de técnicas como envenenamento de SEO.
Em alguns casos, descobriu-se que os invasores espalharam o Vidar 2.0 por meio de postagens do Reddit anunciando cheats falsos do jogo Counter-Strike 2, redirecionando as vítimas para um site malicioso que entrega um arquivo ZIP contendo o malware.
“Esta campanha de infostealer destaca um desafio contínuo de segurança onde plataformas amplamente confiáveis são abusadas para distribuir cargas maliciosas”, disse a Acronis em uma análise publicada no mês passado. “Ao aproveitar a confiança social e os canais de download comuns, os agentes de ameaças muitas vezes conseguem contornar as soluções de segurança tradicionais”.
As descobertas se somam a uma lista crescente de campanhas que aproveitaram o GitHub nos últimos meses -
Visando desenvolvedores diretamente dentro do GitHub, usando alertas de segurança falsos do Microsoft Visual Studio Code (VS Code) postados por meio de discussões para induzir os usuários a instalar malware clicando em um link. “Como as discussões do GitHub acionam notificações por email para participantes e observadores, essas postagens também são entregues diretamente nas caixas de entrada dos desenvolvedores”, disse Socket. “Isso amplia o alcance da campanha além do próprio GitHub e faz com que os alertas pareçam mais legítimos.”
Visando os sistemas judiciais da Argentina usando e-mails de spearphishing para distribuir um arquivo ZIP compactado que usa um script em lote intermediário para recuperar um trojan de acesso remoto (RAT) hospedado no GitHub.
Criação de contas GitHub e aplicativos OAuth, seguida pela abertura de um problema que menciona um desenvolvedor alvo, acionando uma notificação por e-mail que, por sua vez, os engana para que autorizem o aplicativo OAuth, permitindo efetivamente que o invasor obtenha seus tokens de acesso. As questões visam induzir uma falsa sensação de urgência, alertando os usuários sobre tentativas incomuns de acesso.
Usando fraudulento
“O malware se disfarça como um hack do Minecraft chamado ‘Slinky'”, disse a empresa brasileira de segurança cibernética ZenoX em um relatório técnico. “Ele usa o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança dos jovens usuários no cenário dos jogos”.
A atividade foi atribuída com grande confiança a um ator de ameaça conhecido como LofyGang, que foi observado aproveitando pacotes typosquatted no registro npm para enviar malware ladrão em 2022, especificamente com a intenção de desviar dados de cartão de crédito e contas de usuário associadas ao Discord Nitro, jogos e serviços de streaming.
O grupo, que se acredita estar ativo desde o final de 2021, anuncia suas ferramentas e serviços em plataformas como GitHub e YouTube, ao mesmo tempo que contribui para uma comunidade de hackers clandestina sob o pseudônimo DyPolarLofy para vazar milhares de contas do Disney+ e do Minecraft.
“O Minecraft tem sido alvo do LofyGang desde 2022”, disse Acassio Silva, cofundador e chefe de inteligência de ameaças da ZenoX, ao The Hacker News. “Eles vazaram milhares de contas do Minecraft sob o pseudônimo DyPolarLofy no Cracked.io. A campanha atual vai atrás dos jogadores do Minecraft diretamente por meio de um falso hack ‘Slinky’.”
O ataque começa com um hack do Minecraft que, quando lançado, aciona a execução de um carregador JavaScript que é responsável pela implantação do LofyStealer ("chromelevator.exe") em hosts comprometidos e executá-lo diretamente na memória com o objetivo de coletar uma ampla gama de dados confidenciais abrangendo vários navegadores da web, incluindo Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser.
Os dados capturados, que incluem cookies, senhas, tokens, cartões e números de contas bancárias internacionais (IBANs), são exfiltrados para um servidor de comando e controle (C2) localizado em 24.152.36[.]241.
“Historicamente, o vetor principal do grupo era a cadeia de suprimentos de JavaScript: typosquatting de pacotes NPM, starjacking (referências fraudulentas a repositórios legítimos do GitHub para aumentar a credibilidade) e cargas incorporadas em subdependências para evitar a detecção”, disse ZenoX.
“O foco estava no roubo de token Discord, modificação do cliente Discord para interceptação de cartão de crédito e exfiltração via webhooks que abusam de serviços legítimos (Discord, Repl.it, Glitch, GitHub e Heroku) como C2.”
O desenvolvimento mais recente marca um afastamento do comércio observado anteriormente e uma mudança em direção a um modelo de malware como serviço (MaaS) com níveis gratuitos e premium, juntamente com um construtor personalizado chamado Slinky Cracked, que é usado como veículo de entrega para o malware ladrão.
A divulgação ocorre no momento em que os agentes de ameaças estão abusando cada vez mais da confiança associada a uma plataforma como o GitHub para hospedar repositórios falsos que atuam como iscas para famílias de malware como SmartLoader, StealC Stealer e Vidar Stealer. Usuários desavisados são direcionados a esses repositórios por meio de técnicas como envenenamento de SEO.
Em alguns casos, descobriu-se que os invasores espalharam o Vidar 2.0 por meio de postagens do Reddit anunciando cheats falsos do jogo Counter-Strike 2, redirecionando as vítimas para um site malicioso que entrega um arquivo ZIP contendo o malware.
“Esta campanha de infostealer destaca um desafio contínuo de segurança onde plataformas amplamente confiáveis são abusadas para distribuir cargas maliciosas”, disse a Acronis em uma análise publicada no mês passado. “Ao aproveitar a confiança social e os canais de download comuns, os agentes de ameaças muitas vezes conseguem contornar as soluções de segurança tradicionais”.
As descobertas se somam a uma lista crescente de campanhas que aproveitaram o GitHub nos últimos meses -
Visando desenvolvedores diretamente dentro do GitHub, usando alertas de segurança falsos do Microsoft Visual Studio Code (VS Code) postados por meio de discussões para induzir os usuários a instalar malware clicando em um link. “Como as discussões do GitHub acionam notificações por email para participantes e observadores, essas postagens também são entregues diretamente nas caixas de entrada dos desenvolvedores”, disse Socket. “Isso amplia o alcance da campanha além do próprio GitHub e faz com que os alertas pareçam mais legítimos.”
Visando os sistemas judiciais da Argentina usando e-mails de spearphishing para distribuir um arquivo ZIP compactado que usa um script em lote intermediário para recuperar um trojan de acesso remoto (RAT) hospedado no GitHub.
Criação de contas GitHub e aplicativos OAuth, seguida pela abertura de um problema que menciona um desenvolvedor alvo, acionando uma notificação por e-mail que, por sua vez, os engana para que autorizem o aplicativo OAuth, permitindo efetivamente que o invasor obtenha seus tokens de acesso. As questões visam induzir uma falsa sensação de urgência, alertando os usuários sobre tentativas incomuns de acesso.
Usando fraudulento
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #lofygang #brasileira #ressurge #após #três #anos #com #campanha #minecraft #lofystealer
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário