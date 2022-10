LofyGang: invasores de cadeia de suprimentos de software atuando por mais de um ano

Por staff

24/10/2022

A Checkmarx descobriu 200 pacotes maliciosos com milhares de instalações vinculadas a um grupo de ataque chamado “LofyGang”. O referido grupo opera há mais de um ano com múltiplos objetivos de hacking, entre os quais:

Roubo de informações de cartão de crédito.

Roubo de atualizações “Nitro” (premium) do Discord.

Roubo de contas de serviços de streaming (por exemplo, Disney+), contas do Minecraft e muito mais.

Além disso, os operadores do LofyGang foram observados promovendo as suas ferramentas de hackers em fóruns, enquanto algumas dessas ferramentas eram enviadas com um backdoor oculto. As descobertas da Checkmarx foram divulgadas às equipes de segurança do GitHub, NPM, Repl.it, Discord e muito mais.

Dois meses atrás, em agosto de 2022, os pesquisadores da Checkmarx encontraram alguns pacotes maliciosos do LofyGang. Então, imediatamente começaram a investigar e cruzar o IOC, usando ferramentas internas de busca. O que revelou cada vez mais conexões com outros pacotes. Alguns dos pacotes estavam vinculados a relatórios do Sonatype, SecureList e jFrog, mas cada relatório era uma pequena peça de um quebra-cabeça maior.

Sobre o LofyGang

Ao observar as atividades do LofyGang na internet, parecem ser um grupo de crime organizado com foco em roubar e compartilhar cartões de crédito roubados, contas de jogos e streaming, e muito mais. Eles criam contas de fantoches, usando um dicionário fechado de nomes com pequenas permutações de palavras-chave como lofy, vida, polar, panda, kakau, mal, diabo e vilão.

Ao explorarmos este caso, supomos que a sua origem é o Brasil, pois muitas das evidências continham frases em português (Brasil) e até um arquivo chamado “brazil.js”, que continha malware encontrado em alguns de seus pacotes maliciosos.

Servidor do Discord

O servidor Discord do LofyGang foi criado há um ano, em 31 de outubro de 2021, e parece ser o principal canal de comunicação entre os administradores do grupo e os seus membros. Neste servidor Discord, o suporte técnico pode ser encontrado para as ferramentas de hackers do grupo, um grupo de memes obscuros e um bot responsável por distribuir atualizações do Discord Nitro.

Contribuições ao Cracked.io

O grupo está contribuindo para uma comunidade clandestina de hackers sob o pseudônimo DyPolarLofy, onde eles vazam milhares de contas Disney + e Minecraft, promovem suas ferramentas de hackers no GitHub, seus bots e muito mais.

Seguidores falsos do Instagram como serviço

Parece que a principal oferta de LofyGang, nessa comunidade de hackers subterrânea, é vender falsos seguidores do Instagram. Isto conecta com alguns dos perfis de pacotes maliciosos; por exemplo, o pacote “fetch-string” é vinculado à conta do Instagram “victorjxl”, que parecia ser uma conta com seguidores falsos.

Tutoriais do YouTube

LofyGang tem um canal no YouTube com conteúdo autopromocional, como tutoriais em vídeo, mostrando como usar as suas ferramentas de hacking. Seu canal tem quase 4 mil inscritos.

Perfil no GitHub

O grupo hospeda ferramentas de hacking na conta PolarLofy GitHub. Seus repositórios de código aberto oferecem ferramentas e bots para Discord, como:

Spam de Discord

Roubo de contraseñas

Gerador de Nitro

Eliminador de chat

Modificando o aplicativo Discord instalado

Alguns dos pacotes maliciosos do grupo foram vistos modificando a instância instalada do Discord, com ganchos para roubar cartões de crédito enviados via webhook Discord diretamente para os invasores, sempre que um pagamento era realizado.

“As comunidades estão se formando em torno do uso de software de código aberto, para fins maliciosos. Acreditamos que este seja o início de uma tendência que deverá aumentar nos próximos meses. Acreditamos em compartilhar e trabalhar juntos para manter o ecossistema seguro”, destaca Jossef Harush Kadouri, chefe do grupo de engenharia de segurança da cadeia de suprimentos da Checkmarx.