0
0
Principais atividades criminosas do grupo, que possui canais no Discord e YouTube, é roubar e compartilhar cartões de crédito e contas de streaming
A Checkmarx, empresa de solução de cibersegurança de aplicações, descobriu 200 pacotes maliciosos com milhares de instalações vinculadas a um grupo de ataque chamado “LofyGang”. O referido grupo opera há mais de um ano com múltiplos objetivos de hacking, como roubo de informações de cartão de crédito, roubo de atualizações “Nitro” (premium) do Discord e roubo de contas de serviços de streaming (por exemplo, Disney+), contas do Minecraft, entre outras.
Além disso, os operadores do LofyGang foram observados promovendo as suas ferramentas de hackers em fóruns, enquanto algumas dessas ferramentas eram enviadas com um backdoor oculto. As descobertas da Checkmarx foram divulgadas às equipes de segurança do GitHub, NPM, Repl.it, Discord e muito mais.
LofyGang pode ser brasileira
A Checkmarx supõe que a origem dessa quadrilha é o Brasil, pois muitas das evidências continham frases em português brasileiro e até um arquivo chamado “brazil.js”, que continha malware encontrado em alguns de seus pacotes maliciosos.
Dois meses atrás, em agosto de 2022, os pesquisadores da Checkmarx encontraram alguns pacotes maliciosos do LofyGang. Então, imediatamente começaram a investigar e cruzar o IOC, usando ferramentas internas de busca. O que revelou cada vez mais conexões com outros pacotes. Alguns dos pacotes estavam vinculados a relatórios do Sonatype, SecureList e jFrog, mas cada relatório era uma pequena peça de um quebra-cabeça maior.
Ao observar as atividades do LofyGang na internet, parecem ser uma quadrilha com foco em roubar e compartilhar cartões de crédito roubados, contas de jogos e streaming. Eles criam contas de fantoches, usando um dicionário fechado de nomes com pequenas permutações de palavras-chave como lofy, vida, polar, panda, kakau, mal, diabo e vilão.
Atividades em comunidades hackers
O servidor Discord do LofyGang foi criado há um ano, em 31 de outubro de 2021, e parece ser o principal canal de comunicação entre os administradores do grupo e os seus membros. Neste servidor Discord, o suporte técnico pode ser encontrado para as ferramentas de hackers do grupo, um grupo de memes obscuros e um bot responsável por distribuir atualizações do Discord Nitro.
O grupo também está contribuindo para uma comunidade clandestina de hackers sob o pseudônimo DyPolarLofy, onde eles vazam milhares de contas Disney + e Minecraft, promovem suas ferramentas de hackers no GitHub, seus bots e muito mais.
Parece que a principal oferta de LofyGang, nessa comunidade de hackers é vender falsos seguidores do Instagram. Isto conecta com alguns dos perfis de pacotes maliciosos; por exemplo, o pacote “fetch-string” é vinculado à conta do Instagram “victorjxl”, que parecia ser uma conta com seguidores falsos.
A LofyGang ainda tem um canal no YouTube com conteúdo autopromocional, como tutoriais em vídeo, mostrando como usar as suas ferramentas de hacking. Seu canal tem quase 4 mil inscritos. Por fim, o grupo hospeda ferramentas de hacking na conta PolarLofy GitHub. Seus repositórios de código aberto oferecem ferramentas e bots para Discord, como:
- Spam de Discord
- Roubo de contrassenhas
- Gerador de Nitro
- Eliminador de chat
FONTE: IP NEWS