Descoberta e escopo da campanha
Um malware infostealer perigoso chamado LofyStealer está atacando ativamente jogadores de Minecraft, disfarçando-se como uma ferramenta de cheat de jogo chamada "Slinky". O malware executa um ataque de duas etapas que rouba silenciosamente dados sensíveis de navegadores populares, permanecendo em grande parte oculto do software de segurança padrão instalado na máquina da vítima. A campanha é notavelmente mais sofisticada do que o malware de jogos típico visto no passado.
O LofyStealer agrupa um carregador baseado em Node.js com um payload nativo em C++ que é injetado diretamente na memória do navegador em execução durante a execução. O malware atinge uma ampla gama de alvos, atingindo oito navegadores principais, incluindo Chrome, Edge, Brave, Opera GX e Firefox, enquanto extrai cookies, senhas salvas, detalhes de cartão de pagamento, tokens de sessão ativos e IBANs de cada um.
Analistas e pesquisadores da Zenox.ai identificaram e confirmaram o malware durante atividades ativas de caça a ameaças realizadas na plataforma de sandbox ANY.RUN. Ao estudar cuidadosamente as submissões públicas, a equipe conseguiu vincular a campanha ao grupo LofyGang, uma organização de cibercrime de origem brasileira rastreada pela primeira vez pela Checkmarx em outubro de 2022. A atribuição é respaldada por strings em português do Brasil codificadas no código, um servidor de comando e controle hospedado em um pequeno datacenter brasileiro com o endereço IP 24.152.36.241 e o painel de comando e controle que se autodenomina "LofyStealer, Advanced C2 Platform V2.0".
Injeção em memória do navegador: como o LofyStealer contorna ferramentas de segurança
A parte mais tecnicamente notável do LofyStealer é a maneira como seu payload de segunda etapa, chromelevator.exe, é injetado em processos de navegador ativos sem acionar defesas de segurança comuns. Uma vez que o carregador, load.exe, é executado na máquina da vítima, ele consulta o registro do Windows para localizar navegadores instalados e, em seguida, inicia o navegador identificado em um estado suspenso, interrompendo temporariamente o processo antes que se torne totalmente ativo.
O carregador mapeia o payload diretamente no espaço de memória do navegador usando chamadas de nível de kernel do Windows. Em vez de depender de funções de API comuns que os produtos de segurança de endpoint monitoram ativamente, ele resolve funções de baixo nível do ntdll.dll em tempo por meio de syscalls diretos. Essa técnica contorna ganchos de EDR e antivírus que monitoram apenas chamadas de KERNEL32.dll de alto nível, dando ao payload um caminho limpo e não detectado para o processo de navegador em execução.
Impacto e alcance
Uma vez injetado e totalmente ativo dentro do navegador, o payload extrai cookies, senhas armazenadas, tokens de sessão, dados de cartão de pagamento e IBANs em oito navegadores alvo. Os dados roubados são compactados usando um comando PowerShell oculto, codificados em Base64 e enviados ao servidor C2 por meio de uma solicitação HTTP POST com uma assinatura de integridade SHA-256 anexada. O servidor torna todos os registros roubados disponíveis para os operadores por meio do painel web em tempo real.
O LofyStealer opera como uma plataforma Malware-as-a-Service (MaaS), oferecendo níveis gratuitos e premium para compradores criminosos por meio de um painel baseado na web. Usuários premium ganham acesso total a um painel de gerenciamento de vítimas, um construtor de executáveis personalizados chamado "Slinky Cracked" e monitoramento em tempo real de máquinas comprometidas. Esse modelo de negócios estruturado reflete uma operação madura e profissionalizada que cresceu bem além de suas raízes iniciais como um ataque de cadeia de suprimentos JavaScript distribuído por meio do registro de pacotes NPM.
Medidas de mitigação recomendadas
Usuários e organizações devem evitar baixar mods, cheats ou utilitários de jogos do Minecraft de fontes não oficiais ou não confiáveis, particularmente aqueles compartilhados por meio de canais do Discord ou sites de compartilhamento de arquivos desconhecidos. Soluções de segurança de endpoint capazes de detectar comportamento de injeção em memória oferecem proteção mais forte contra esse malware do que a varredura baseada em arquivos tradicional.
A autenticação multifatorial deve ser ativada em todas as contas de jogos, streaming e financeiras para reduzir o risco de roubo de credenciais. As equipes de segurança são aconselhadas a bloquear o tráfego de saída para o IP 24.152.36.241 na porta 8080 e monitorar sistemas para execução do PowerShell rodando em modo oculto como um indicador chave de comprometimento.
Perguntas frequentes
Qual a origem do malware? O grupo LofyGang, de origem brasileira.
Como o malware se espalha? Através de engenharia social, disfarçado como cheat de Minecraft.
Como se proteger? Evitar downloads não oficiais, usar MFA e bloquear o IP C2 identificado.