Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Arile! Scopri di più
Ritorna LofyGang su Minecraft: il falso hack “Slinky” ruba password, cookie e IBAN dai browser
Dopo oltre tre anni di silenzio operativo, il gruppo cybercriminale brasiliano LofyGang è tornato a colpire con una nuova campagna mirata ai giocatori di Minecraft. Il punto di forza dell’attacco è l’uso di un falso hack per il gioco chiamato Slinky, presentato con l’icona ufficiale di Minecraft per aumentare la credibilità e spingere gli utenti, spesso giovani, a eseguire volontariamente il file.
Questa tecnica di social engineering sfrutta la fiducia tipica delle community di gaming e l’abitudine a scaricare mod, cheat e tool non ufficiali.
Una volta avviato il presunto hack, la catena di infezione passa da un loader in JavaScript che prepara l’ambiente e rilascia il payload principale, identificato come LofyStealer, noto anche come GrabBot. Il malware viene eseguito in memoria e punta al furto di informazioni sensibili da diversi browser: Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser. Tra i dati esfiltrati compaiono cookie, password salvate, token di sessione, dati di carte e anche IBAN, elementi che rendono l’infezione particolarmente pericolosa non solo per gli account di gioco ma anche per la sicurezza finanziaria.
I dati raccolti vengono inviati a un server di comando e controllo, con un indirizzo IP indicato come 24.152.36.241, confermando un impianto tipico da infostealer. Rispetto alle operazioni precedenti, attribuite allo stesso gruppo, emerge un cambio di strategia. In passato LofyGang era stato associato ad attacchi sulla supply chain JavaScript tramite pacchetti npm in typosquatting, starjacking e dipendenze malevole inserite in sub-dependency per eludere i controlli. L’obiettivo storico includeva il furto di token Discord e tecniche per intercettare dati di pagamento legati a servizi gaming e streaming.
La campagna attuale mostra invece una svolta verso un modello malware-as-a-service, con livelli gratuiti e premium e un builder dedicato chiamato Slinky Cracked usato come veicolo di distribuzione. Il caso si inserisce in un trend più ampio in cui piattaforme considerate affidabili come GitHub vengono abusate per ospitare repository esca e distribuire malware, spesso spinti anche da tecniche di SEO poisoning che portano gli utenti verso download dannosi.