Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Jugadores de Minecraft infectados por LofyStealer tras bajarse un hack del juego


Un peligroso malware infostealer llamado LofyStealer está atacando activamente a jugadores de Minecraft al hacerse pasar por una herramienta de trampas para el juego llamada “Slinky.” El malware ejecuta un ataque en dos etapas que roba silenciosamente datos sensibles de navegadores web populares mientras permanece oculto para la mayoría del software de seguridad estándar instalado en la máquina de la víctima. La campaña destaca por ser notablemente más sofisticada.






  • Un malware infostealer peligroso llamado LofyStealer está atacando activamente a jugadores de Minecraft al hacerse pasar por una herramienta de trampas para el juego llamada "Slinky". El malware ejecuta un ataque en dos etapas que roba silenciosamente datos sensibles de navegadores web populares mientras permanece en gran medida oculto para el software de seguridad estándar instalado en la máquina de la víctima. La campaña es notablemente más sofisticada que el malware típico para juegos visto en el pasado. LofyStealer incluye un cargador basado en Node.js con una carga útil nativa en C++ que se inyecta directamente en la memoria activa del navegador durante la ejecución. El malware cubre una amplia gama de objetivos, afectando a ocho navegadores principales, incluyendo Chrome, Edge, Brave, Opera GX y Firefox, mientras extrae cookies, contraseñas guardadas, detalles de tarjetas de pago, tokens de sesión activos e IBANs de cada uno. 

 



Analistas e investigadores de Zenox.ai identificaron y confirmaron el malware durante actividades activas de caza de amenazas realizadas en la plataforma sandbox ANY.RUN. Al estudiar cuidadosamente las presentaciones públicas, el equipo pudo vincular la campaña con el grupo LofyGang, una organización de cibercrimen de origen brasileño rastreada por primera vez por Checkmarx en octubre de 2022. La atribución está respaldada por cadenas en portugués brasileño codificadas en el código, un servidor C2 alojado en un pequeño centro de datos brasileño con la dirección IP 24.152.36.241, y el panel de comando y control que se identifica como "LofyStealer, Advanced C2 Platform V2.0". Los actores de amenazas difunden el malware completamente a través de ingeniería social. Empaquetan el archivo malicioso como un truco para Minecraft llamado "Slinky" y usan el icono oficial del juego para hacerlo parecer completamente legítimo. Este método funciona particularmente bien porque Minecraft atrae a una audiencia más joven que es mucho más propensa a descargar trucos o mods de fuentes no oficiales. Una vez que se ejecuta el archivo, la infección comienza silenciosamente en segundo plano sin mostrar señales de advertencia visibles al usuario.

Infection Chain (Source - Zenox.ai)
Cadena de Infección (Fuente – Zenox.ai)
LofyStealer opera como una plataforma de Malware-as-a-Service (MaaS), ofreciendo niveles Free y Premium a compradores criminales a través de un panel basado en la web. Los usuarios Premium obtienen acceso completo a un panel de gestión de víctimas, un generador de ejecutables personalizados llamado "Slinky Cracked" y monitoreo en tiempo real de máquinas comprometidas.
LofyStealer C2 Panel (Source - Zenox.ai)
Panel C2 de LofyStealer (Fuente – Zenox.ai)

Este modelo de negocio estructurado refleja una operación madura y profesionalizada que ha crecido mucho más allá de sus raíces iniciales como un ataque a la cadena de suministro de JavaScript distribuido a través del registro de paquetes NPM. 

 

Inyección en Memoria del Navegador: Cómo LofyStealer Elude las Herramientas de Seguridad

La parte técnicamente más notable de LofyStealer es la forma en que su carga útil de segunda etapa, chromelevator.exe, se inyecta en los procesos activos del navegador sin activar las defensas de seguridad comunes. Una vez que el cargador, load.exe, se ejecuta en la máquina de la víctima, consulta el registro de Windows para localizar los navegadores instalados y luego lanza el navegador identificado en un estado suspendido, deteniendo temporalmente el proceso antes de que se active por completo.

 El cargador luego mapea la carga útil directamente en el espacio de memoria del navegador utilizando llamadas al kernel de Windows. En lugar de depender de funciones API comunes que los productos de seguridad de endpoints monitorean activamente, resuelve funciones de bajo nivel desde ntdll.dll en tiempo de ejecución a través de syscalls directos. 

 Esta técnica evita los hooks de EDR y antivirus que solo monitorean llamadas de alto nivel a KERNEL32.dll, dando a la carga útil un camino limpio y no detectado hacia el proceso del navegador en ejecución. Una vez inyectado y completamente activo dentro del navegador, la carga útil extrae cookies, contraseñas almacenadas, tokens de sesión, datos de tarjetas de pago e IBANs de los ocho navegadores objetivo. Los datos robados se comprimen utilizando un comando oculto de PowerShell, se codifican en Base64 y se envían al servidor C2 a través de una solicitud HTTP POST con una firma de integridad SHA-256 adjunta.

 El servidor luego pone todos los registros robados a disposición de los operadores a través del panel web en vivo. Los usuarios y organizaciones deben evitar descargar mods, trucos o utilidades de juego de Minecraft desde fuentes no oficiales o no confiables, especialmente aquellos compartidos a través de canales de Discord o sitios desconocidos de intercambio de archivos. Las soluciones de seguridad de endpoints capaces de detectar comportamientos de inyección en memoria ofrecen una protección más fuerte contra este malware que el escaneo tradicional basado en archivos.

 Se debe habilitar la autenticación multifactor en todas las cuentas de juegos, streaming y financieras para reducir el riesgo de robo de credenciales. Se recomienda a los equipos de seguridad bloquear el tráfico saliente a la IP 24.152.36.241 en el puerto 8080 y monitorear los sistemas en busca de ejecución de PowerShell en modo oculto como un indicador clave de compromiso.

Fuentes:
https://cybersecuritynews.com/minecraft-players-targeted-by-lofystealer/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.