A reincidência de um grupo de ciberdelinquência brasileiro conhecido como LofyGang obriga a levar a sério um risco que combina engenharia social dirigida a jogadores jovens e técnicas de distribuição cada vez mais industriais: a campanha detectada por ZenoX usa um novo infostealer chamado LofyStealer(também identificado como GrabBot) e o camufla como um suposto cheat para Minecraft chamado "Slinky", aproveitando o ícone oficial do jogo para induzir a execução voluntária de um arquivo malicioso.
O notável não é apenas o malware em si, mas a mudança na economia e logística do ataque. Após anos centrados na cadeia de fornecimento de JavaScript —typosquatting em npm, starjacking no GitHub e sub-dependências com payloads ocultos — o ator evoluiu para um modelo similar a malware-as-a-service, com tiers gratuitos e de pagamento e um builder ("Slinky Cracked") que facilita a entrega do stealer. A execução começa com um loader em JavaScript que exibe um executável referido como "chromelevator.exe" e executa o código em memória para coletar cookies, credenciais, tokens, cartões e até IBANs, que depois são exfiltrados a um servidor de comando e controle (C2) identificado em 24.152.36[.]241.
Essa tática explora dois vetores sociotécnicos: a confiança na marca (Minecraft) e a predisposição de audiências jovens para baixar hacks ou cheats. Quando o gancho combina aparência legítima e um instalador aparentemente inocuo, muitas soluções tradicionais de segurança podem falhar, sobretudo se o stager carga código em memória ou usa serviços legítimos como intermediários para exfiltrar dados. Além disso, a profissionalização das operações — com builders, marketplaces e suporte — reduz a barreira de entrada para outros criminosos que buscam monetizar credenciais de jogos, contas de streaming e cartões.
Para jogadores e pais, a primeira lição é prática e urgente: não baixar ou executar hacks, cracks ou ferramentas que prometam vantagens em jogos de fontes não verificadas. Se uma oferta parecer muito boa ou exigir desativar proteções do sistema para se instalar, é sinal claro de risco. É conveniente que as contas do Minecraft, do Discord e das plataformas associadas tenham autenticação multifatorial activada, que sejam revistas sessões activas e dispositivos a partir dos painéis de segurança de cada serviço e que se revoquem tokens suspeitos imediatamente.
Em equipamentos e redes domésticas é recomendado não usar contas com privilégios administrativos para jogar; executar o jogo em um usuário restrito ou mesmo em uma máquina virtual reduz o impacto de uma infecção. Diante da suspeita de uma infecção por um stealer, o prudente é isolar o equipamento da rede, mudar credenciais de um dispositivo limpo e monitorar movimentos bancários, cartões e qualquer tentativa de uso fraudulento de serviços. Ferramentas como VírusTotal podem oferecer um primeiro cheque de arquivos suspeitos, embora os atacantes que executam código em memória possam contornar muitas análises estáticas.
Para desenvolvedores, administradores de repositórios e defensores de plataformas a lição é que não há confiança implícita num repositório ou num executável apenas por estar hospedado no GitHub ou outra plataforma popular. Os atacantes abusam de funções legítimas —issues, discussões que geram notificações por email, OAuth e contas aparentemente legítimas — para ampliar seu alcance. É imprescindível fortalecer os processos de revisão de dependências, ativar monitoramento de typosquatting e automatizar alertas por mudanças incomuns em pacotes ou na atividade de contas que contribuem para projetos populares.
As organizações devem complementar a higiene digital com protecções técnicas: EDR e soluções de detecção com visibilidade de execução em memória, filtragem de domínios e reputação para bloquear comunicações para C2 conhecidos, políticas de bloqueio para executáveis conhecidos que lancem intérpretes de arquivos opacos e revisões de OAuth para evitar autorizações inadvertidas que concedam tokens permanentes. Além disso, a assinatura de código e a verificação de integridade reduzem o risco de um binário legítimo ser suplantado ou distribuído com payloads adicionais.
Em um plano mais amplo, o fenômeno ilustra por que a confiança nas plataformas centralizadas deve ser combinada com controles técnicos e alfabetização: os repositórios de código e fóruns públicos são ferramentas poderosas para a colaboração, mas também se tornaram vetores de distribuição para famílias de malware como SmartLoader, StealC, Vidar e agora LofyStealer. As empresas que operam estas plataformas, juntamente com a comunidade de segurança, devem acelerar a detecção e a remediação de contentes maliciosos, melhorar os sinais de confiança e facilitar mecanismos de denúncia eficazes.
Para aprofundar as implicações destas campanhas e como proteger-se, é útil consultar análises jornalísticas e guias de segurança; fontes gerais de referência incluem relatos e notícias especializadas como os de The Hacker News e documentação de boas práticas em plataformas de desenvolvimento como GitHub Code Security. Convém igualmente rever recursos comunitários e organizações como OWASP para entender controles específicos de mitigação.
A reincidência de LofyGang lembra-nos que a ameaça é tanto técnica como humana: combater a ameaça exige atualizar ferramentas, endurecer processos e, sobretudo, educar as comunidades de jogadores e desenvolvedores para que não normalizem a descarga de software de dudosa procedência. Em cibersegurança, a combinação de prevenção técnica e consciência social continua sendo a defesa mais efetiva.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...