Grupo brasileiro LofyGang volta com campanha do `LofyStealer` contra jogadores de Minecraft

O roubo de informações usa um falso hack chamado Slinky, aciona um carregador em JavaScript e executa o chromelevator.exe em memória para coletar dados de navegadores.

Componente	Campanha do `LofyStealer`, também identificado como `GrabBot`, associada ao grupo brasileiro `LofyGang`.
Vetor	Execução voluntária de um falso hack de Minecraft chamado `Slinky`, que inicia um carregador em JavaScript e implanta o binário `chromelevator.exe`.
Impacto	Coleta de dados sensíveis armazenados em navegadores como Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser.
Prioridade	Bloquear e investigar downloads de cheats de jogos, validar execuções de JavaScript que geram binários no endpoint e caçar o artefato `chromelevator.exe`.
Histórico	O mesmo grupo já havia usado typosquatting no registro `npm`, starjacking em repositórios e subdependências com payloads para roubo de tokens do Discord e contas de serviços de jogos e streaming.
Artefatos	`Slinky`, `Slinky Cracked`, `LofyStealer`, `GrabBot`, `chromelevator.exe`, webhooks em serviços legítimos e contas associadas ao alias `DyPolarLofy`.

Resumo técnico

O LofyGang, grupo de origem brasileira observado em campanhas de roubo de credenciais desde o fim de 2021, reapareceu após mais de três anos com uma operação voltada diretamente a jogadores de Minecraft. A campanha atual distribui o LofyStealer, também referido como GrabBot, por meio de um falso hack de jogo chamado Slinky. O tema do ataque não é apenas cosmético: a isca depende da confiança de usuários em ferramentas de trapaça, modificadores e utilitários não oficiais para induzir a execução manual do conteúdo malicioso. O uso do ícone oficial do jogo reforça a tentativa de reduzir suspeita no momento em que o arquivo é aberto.

A cadeia descrita começa quando o usuário executa o suposto hack de Minecraft. A partir desse ponto, um carregador em JavaScript é iniciado e conduz a implantação do LofyStealer como chromelevator.exe. O binário é executado diretamente em memória, característica que diminui a dependência de artefatos persistentes em disco e pode dificultar análises baseadas apenas em varredura estática de arquivos. O objetivo técnico confirmado é coletar dados sensíveis de vários navegadores instalados no host, incluindo Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser.

A mudança é relevante porque o histórico do LofyGang era associado principalmente à cadeia de suprimentos JavaScript. Em 2022, o grupo foi observado usando pacotes com nomes semelhantes a projetos legítimos no registro npm, referências fraudulentas a repositórios populares para inflar credibilidade e payloads escondidos em subdependências. Naquele período, o foco incluía tokens do Discord, modificação do cliente Discord para interceptação de dados de cartão e exfiltração por webhooks apoiados em serviços legítimos como Discord, Repl.it, Glitch, GitHub e Heroku. A campanha atual desloca o primeiro contato para a cena de jogos, mas mantém a lógica de abuso de confiança e execução induzida.

Fluxo técnico

O vetor inicial é um artefato apresentado como hack de Minecraft. A campanha explora um comportamento comum em comunidades de jogos: a busca por cheats, scripts ou modificadores fora de canais oficiais. O usuário precisa iniciar o suposto Slinky, e essa etapa funciona como pré-condição central da infecção. Não há indicação no material analisado de exploração remota sem interação, vulnerabilidade em Minecraft ou comprometimento automático do jogo. O fluxo depende de engenharia social, aparência visual convincente e promessa de funcionalidade não autorizada para obter a primeira execução no endpoint.

Depois da execução inicial, o carregador em JavaScript atua como intermediário entre a isca e o stealer. Esse ponto da cadeia merece atenção porque ambientes Windows frequentemente permitem execução de scripts por ferramentas associadas ao sistema, por runtimes instalados ou por empacotamentos que escondem a natureza do conteúdo. O carregador termina com a implantação do chromelevator.exe, nome que sugere uma tentativa de parecer relacionado ao Chrome, mas que no contexto da campanha representa o componente de roubo. A execução em memória indica que a análise defensiva deve considerar telemetria de processo, criação de processos-filho, carregamento anômalo de conteúdo e comportamento de acesso a dados de navegadores, não apenas presença durável de arquivo no disco.

O LofyStealer mira dados presentes em navegadores populares. O conjunto mencionado cobre navegadores baseados em Chromium, como Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera e Opera GX, além de Mozilla Firefox e Avast Browser. O impacto técnico sustentado é a coleta de informações sensíveis nesses perfis de navegação. O contexto não informa quais bases internas, arquivos específicos, cookies, senhas, carteiras, tokens ou formatos são extraídos, portanto a avaliação deve permanecer no nível confirmado: acesso a dados armazenados por navegadores. Para resposta a incidente, isso já é suficiente para tratar o host como potencialmente exposto em relação a sessões autenticadas e credenciais salvas nesses aplicativos.

A atribuição ao LofyGang foi feita com alta confiança no material técnico analisado e se apoia no histórico do grupo. O alias DyPolarLofy aparece ligado à divulgação de milhares de contas de Disney+ e Minecraft em uma comunidade clandestina, e Minecraft já estava no escopo do grupo desde 2022. A campanha atual, porém, altera o método de entrega: sai de um predomínio de typosquatting em npm e passa a um modelo de malware como serviço, com níveis gratuito e premium, além de um construtor chamado Slinky Cracked. Esse builder é descrito como veículo de entrega do stealer, o que sugere capacidade de empacotar ou preparar amostras sem exigir que cada operador monte manualmente toda a cadeia.

Superfície afetada

A superfície primária é composta por endpoints de usuários que baixam e executam hacks, cheats ou modificadores de Minecraft fora de canais confiáveis. Embora o público imediato seja o de jogadores, o risco operacional aumenta quando esses sistemas também são usados para trabalho, administração de contas, acesso a painéis corporativos, repositórios, serviços de nuvem ou comunicação profissional. O material analisado não sustenta afirmar comprometimento de organizações específicas, mas um stealer com foco em navegadores pode capturar material sensível suficiente para viabilizar abuso posterior de contas se credenciais ou sessões estiverem armazenadas nesses perfis.

Ambientes com políticas permissivas para execução de JavaScript local, ausência de bloqueio de executáveis recém-baixados e baixa visibilidade sobre processos em memória ficam mais expostos. A presença de navegadores listados pela campanha amplia o alcance prático, porque a maioria dos usuários mantém pelo menos um deles instalado. Como não há versão vulnerável específica, o problema não se resolve por correção de navegador. A defesa precisa tratar o vetor como distribuição de malware e engenharia social, combinando controle de execução, filtragem de downloads, reputação de arquivos, telemetria de endpoint e educação direcionada sobre ferramentas de trapaça e cracks.

A superfície histórica também inclui ecossistemas de desenvolvimento. O LofyGang já utilizou pacotes typosquatted no npm, starjacking e subdependências com payloads para passar credibilidade e evadir inspeção superficial. Esse histórico não deve ser confundido com o vetor atual, mas informa o perfil de risco: o grupo já demonstrou capacidade de operar em comunidades de desenvolvedores e jogadores, explorando marcas conhecidas e confiança social. Organizações que permitem uso de máquinas pessoais para acesso corporativo devem considerar que a infecção por um cheat de jogo em um ambiente doméstico pode gerar risco indireto para contas usadas no trabalho.

A atividade também se encaixa em uma tendência maior de abuso de plataformas confiáveis para hospedar iscas e payloads. O contexto menciona campanhas recentes usando repositórios falsos, posts em fóruns, SEO poisoning, discussões em GitHub, alertas falsos de segurança e instaladores fraudulentos. Essas referências não provam que todos esses métodos foram usados no caso do LofyStealer, mas mostram um padrão operacional comum: colocar o conteúdo malicioso em locais que parecem legítimos, fazer o usuário chegar até ele por busca, comunidade ou notificação e, então, induzir a instalação.

Endpoints de jogadores que executaram o falso hack Slinky ou builds relacionadas a Slinky Cracked.
Perfis de navegador em Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox e Avast Browser.
Máquinas pessoais ou compartilhadas que também armazenam sessões de trabalho, contas de desenvolvimento, comunicação ou serviços em nuvem.
Ambientes de desenvolvimento que ainda aceitam pacotes npm sem revisão de origem, nome, mantenedor, subdependências e comportamento pós-instalação.

Hunting e telemetria

A caça deve começar por eventos de download e execução ligados a cheats de Minecraft, principalmente quando o nome visível ou metadados mencionarem Slinky, Slinky Cracked, LofyStealer, GrabBot ou chromelevator.exe. Como a campanha depende de execução voluntária, a linha do tempo do endpoint tende a mostrar sequência iniciada por navegador, cliente de download, compactador, diretório de downloads ou pasta temporária do usuário. Em seguida, a telemetria pode revelar execução de script JavaScript, criação ou carregamento de binário e acesso a diretórios de perfil de navegadores.

Processos com nome chromelevator.exe exigem investigação mesmo quando localizados em caminhos que tentam parecer legítimos. O nome pode induzir associação com o Google Chrome, mas a relação descrita no contexto é com o stealer. Operadores devem correlacionar o processo com pai, linha de comando, hash local, diretório de origem, primeiro horário de execução, usuário logado e conexões de rede realizadas no mesmo intervalo. O contexto não fornece hashes, domínios, endereços IP ou URLs de comando e controle, portanto detecções baseadas em indicadores fixos devem ser complementadas por comportamento.

A telemetria de navegador é outro ponto crítico. A campanha tem como alvo múltiplos navegadores, então a análise não deve se limitar ao Chrome padrão. Acesso incomum a perfis do Firefox, Opera GX, Brave ou Edge por um processo recém-criado pode ser sinal forte. Também vale examinar eventos de leitura em massa, compressão, criação de arquivos temporários e conexões de saída logo após a coleta. Como o histórico do grupo inclui exfiltração via webhooks em serviços legítimos, conexões para plataformas normalmente permitidas não devem ser automaticamente ignoradas quando surgirem no mesmo encadeamento de processo.

Para ambientes de engenharia, o histórico de npm justifica consultas separadas em registros de instalação de pacotes, caches, lockfiles e pipelines. O objetivo não é atribuir toda ocorrência suspeita ao caso atual, mas identificar se a organização já teve exposição ao padrão anterior do grupo: pacotes com nomes muito próximos aos legítimos, repositórios referenciados de forma fraudulenta e subdependências com comportamento inesperado. Em estáções de desenvolvedores, a combinação de downloads de cheats, ferramentas não oficiais e histórico de execução de scripts deve elevar a prioridade de investigação.

Execução de chromelevator.exe iniciada a partir de diretórios de usuário, downloads, temporários ou arquivos extraídos recentemente.
Processos JavaScript ou wrappers de script iniciados logo após a abertura de um suposto hack de Minecraft.
Acesso de processos não pertencentes aos navegadores a diretórios de perfil do Chrome, Edge, Brave, Opera, Opera GX, Firefox ou Avast Browser.
Conexões de saída para serviços legítimos de hospedagem, colaboração ou webhook imediatamente após coleta local de dados.
Pacotes npm com nomes parecidos com projetos conhecidos, referências artificiais a repositórios populares e subdependências com scripts inesperados.

Mitigação

A resposta deve priorizar contenção de máquinas onde o falso Slinky foi executado ou onde chromelevator.exe apareceu. Como o malware mira dados de navegadores, o host deve ser isolado antes de coleta forense quando houver suspeita forte, preservando memória, árvore de processos, arquivos recentes, histórico de downloads e eventos de rede. Em seguida, é necessário inventariar navegadores instalados e contas usadas no equipamento. A rotação de credenciais deve considerar contas autenticadas nesses navegadores, especialmente serviços de e-mail, repositórios, comunicação, streaming, jogos e painéis administrativos acessados pelo mesmo usuário.

No controle preventivo, bloqueios de execução para arquivos baixados da internet, regras de reputação para cheats e cracks, inspeção de arquivos compactados e restrição de JavaScript local reduzem a chance de instalação. O bloqueio não deve depender apenas do nome chromelevator.exe, porque campanhas com builder podem alterar nomes e empacotamento. Regras comportamentais que combinam execução a partir de diretórios de usuário, script intermediário, criação de binário e leitura de perfis de navegador tendem a cobrir melhor variações sem exigir IoCs que não foram divulgados no contexto.

Em redes corporativas, o tratamento de dispositivos pessoais precisa ser explícito. Se usuários acessam recursos da organização a partir de máquinas usadas para jogos, as equipes devem reforçar MFA resistente a phishing, reduzir duração de sessões, revisar dispositivos confiáveis e monitorar logins anômalos após uma suspeita de stealer. Não há dado no contexto que confirme vazamento corporativo, mas o risco técnico de um infostealer de navegador é suficiente para acionar revisão de sessões e tokens em contas sensíveis quando o endpoint afetado também foi usado para trabalho.

Para desenvolvimento e cadeia de suprimentos, a mitigação deve manter controles sobre npm: revisão de nomes antes da instalação, uso de lockfiles, bloqueio de pacotes desconhecidos em pipelines, verificação de scripts pós-instalação e análise de subdependências novas. O histórico do LofyGang mostra que a operação já abusou da confiança em repositórios e pacotes; portanto, organizações devem cruzar telemetria de endpoint com eventos de instalação em ambientes de build. Downloads hospedados em GitHub ou promovidos por repositórios visualmente convincentes devem ser avaliados pelo comportamento do conteúdo, não pela aparência do projeto ao redor.

A validação final deve confirmar remoção de artefatos, inexistência de processos residuais, ausência de novas execuções do mesmo encadeamento e rotação concluída das credenciais relevantes. Também é recomendável revisar regras de EDR para cobrir acesso anômalo a múltiplos perfis de navegador, execução em memória e uso de webhooks ou serviços legítimos logo após coleta local. Sem hashes, domínios ou endereços IP divulgados no contexto, a defesa mais robusta é comportamental e baseada na sequência da campanha: isca de jogo, carregador em JavaScript, chromelevator.exe, acesso a navegadores e comunicação externa.

Isolar endpoints com execução confirmada de Slinky, Slinky Cracked ou chromelevator.exe antes de limpeza completa.
Coletar árvore de processos, histórico de downloads, artefatos temporários, eventos de script e conexões de rede do intervalo da execução.
Revogar sessões e trocar senhas de contas usadas nos navegadores instalados no host afetado.
Criar regras comportamentais para scripts que implantam executáveis e acessam perfis de múltiplos navegadores.
Bloquear cheats, cracks e downloads de repositórios não verificados em máquinas com acesso a contas corporativas.
Revisar pacotes npm, subdependências, lockfiles e scripts de instalação em ambientes de desenvolvimento expostos ao padrão histórico do grupo.

Grupo brasileiro LofyGang volta com campanha do `LofyStealer` contra jogadores de Minecraft

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Grupo brasileiro LofyGang volta com campanha do `LofyStealer` contra jogadores de Minecraft

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato