La réapparition d'un groupe de cybercriminalité brésilienne LofyGang exige un risque sérieux qui combine l'ingénierie sociale destinée aux jeunes joueurs et les techniques de distribution de plus en plus industrielles: la campagne détectée par ZenoX utilise un nouveau infostealer appelé LofyStealer(également identifié comme GrabBot) et camouflage comme un prétendu tricheur Minecraft appelé "Slinky", en profitant de l'icône de jeu officielle pour induire l'exécution volontaire d'un fichier malveillant.
La chose remarquable n'est pas seulement le malware lui-même, mais le changement dans l'économie et la logistique de l'attaque. Après des années centrées sur la chaîne d'approvisionnement JavaScript - typosquating en npm, Starjacking en GitHub et sous-dépendances avec charges utiles cachées - l'acteur a évolué vers un modèle similaire à logiciels malveillants en tant que service, avec des niveaux gratuits et payés et un constructeur ("Slinky Cracked") qui facilite la livraison du voleur. L'exécution commence avec un chargeur JavaScript qui déploie un exécutable appelé "chromelevator.exe" et exécute le code en mémoire pour collecter des cookies, des identifiants, des jetons, des cartes et jusqu'à IBANS, qui sont ensuite infiltrés dans un serveur de commande et de contrôle (C2) identifié en 24.152.36 [.] 241.
Cette tactique exploite deux vecteurs sociotechniques : la confiance dans la marque (Minecraft) et la prédisposition des jeunes publics à télécharger des hacks ou des tricheurs. Lorsque le crochet combine une apparence légitime et un installateur apparemment inoffensif, de nombreuses solutions de sécurité traditionnelles peuvent échouer, surtout si le gestionnaire charge le code en mémoire ou utilise des services légitimes comme intermédiaires pour exfilter des données. En outre, la professionnalisation des opérations - avec les constructeurs, les marques et le soutien - réduit la barrière d'entrée pour les autres criminels qui cherchent à monétiser les identifiants de jeu, les comptes en streaming et les cartes.
Pour les joueurs et les parents, la première leçon est pratique et urgente: ne pas télécharger ou exécuter des hacks, des fissures ou des outils qui promettent des avantages dans les jeux de sources non vérifiées. Si une offre semble trop bonne ou nécessite l'installation de protections système désactivées, c'est un signal de risque clair. Les comptes de Minecraft, Discord et les plateformes associées devraient avoir activé l'authentification multifactorielle, les sessions actives et les dispositifs devraient être examinés à partir des panneaux de sécurité de chaque service et les jetons suspects révoqués immédiatement.
Dans l'équipement et les réseaux domestiques, il est recommandé de ne pas utiliser de comptes avec des privilèges administratifs pour jouer; exécuter le jeu sur un utilisateur restreint ou même sur une machine virtuelle réduit l'impact d'une infection. Face à la suspicion d'une infection par un voleur, il est sage d'isoler l'équipement du réseau, de changer les références d'un appareil propre et de surveiller les mouvements bancaires, les cartes et toute utilisation frauduleuse des services. Des outils comme VirusTotal peuvent offrir une première vérification de fichiers suspects, bien que les attaquants qui exécutent le code en mémoire peuvent échapper à de nombreuses analyses statiques.
Pour les développeurs, administrateurs de dépôt et plate-forme préconise la leçon est que il n'y a pas de confiance implicite dans un dépôt ou un exécutable juste parce qu'il est hébergé dans GitHub ou une autre plate-forme populaire. Les agresseurs abusent de fonctions légitimes - questions, discussions qui génèrent des notifications par courriel, OAuth et des comptes apparemment légitimes - pour élargir leur portée. Il est essentiel de renforcer les processus d'examen des unités, de permettre la surveillance des typosquats et d'automatiser les alertes pour les changements inhabituels dans les paquets ou dans les activités de compte qui contribuent aux projets populaires.
Les organisations devraient compléter l'hygiène numérique par des protections techniques : Les solutions EDR et de détection avec la visibilité de la performance mémoire, le filtrage de domaine et la réputation pour bloquer les communications à C2, les politiques de verrouillage pour les exécutables renommés qui lancent des interprètes à partir de fichiers opaques et les revues OAuth pour éviter les autorisations non remarquées qui accordent des jetons permanents. De plus, la signature de code et la vérification de l'intégrité réduisent le risque qu'un binaire légitime soit supplanté ou distribué avec des charges utiles supplémentaires.
Plus largement, le phénomène illustre pourquoi la confiance dans les plateformes centralisées devrait être combinée avec les contrôles techniques et la littératie: les référentiels de code et les forums publics sont des outils puissants pour la collaboration, mais ils sont également devenus vecteurs de distribution pour les familles de malwares comme SmartLoader, StealC, Vidar et maintenant LofyStealer. Les entreprises qui exploitent ces plateformes, de concert avec la communauté de la sécurité, devraient accélérer la détection et la médiation de contenus malveillants, améliorer les signaux de confiance et faciliter l'établissement de rapports efficaces.
Afin d'approfondir les implications de ces campagnes et la manière de se protéger, il est utile de consulter des guides d'analyse et de sécurité journalistiques. Les nouvelles Hacker et documentation des bonnes pratiques concernant les plates-formes de développement telles que Sécurité du code GitHub. Ressources et organisations communautaires en matière de sécurité OWASP comprendre les contrôles d'atténuation spécifiques.
La réapparition de LofyGang nous rappelle que la menace est à la fois technique et humaine: la combattre nécessite des outils de mise à jour, des processus de durcissement et, surtout, l'éducation des communautés des joueurs et des développeurs afin qu'ils ne normalisent pas le téléchargement de logiciels à partir de sources douteuses. Dans le domaine de la cybersécurité, la combinaison de la prévention technique et de la sensibilisation sociale reste la défense la plus efficace.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...