Empresa descobre gangue de hackers supostamente brasileira, a LofyGang

A Checkmarx descobriu 200 pacotes maliciosos com milhares de instalações vinculadas a um grupo de ataque chamado “LofyGang”. O referido grupo opera há mais de um ano com múltiplos objetivos de cibercrime, entre os quais roubo de informações de cartão de crédito, roubo de atualizações “Nitro” (premium) do Discord e roubo de contas de serviços de streaming (por exemplo, Disney+) e até de contas do Minecraft, entre outros golpes.

LEIA MAIS: Guerra na Ucrânia também acontece no ambiente cibernético

Além disso, os operadores do LofyGang foram observados promovendo as suas ferramentas de hackers em fóruns, enquanto algumas dessas ferramentas eram enviadas com um backdoor oculto. As descobertas da Checkmarx foram divulgadas às equipes de segurança do GitHub, NPM, Repl.it, Discord e muito mais. 

Ao observar as atividades do LofyGang na internet, a empresa diz que parecem ser um grupo de crime organizado com foco em roubar e compartilhar cartões de crédito roubados, contas de jogos e streaming, como já dito. Eles criam contas de fantoches, usando um dicionário fechado de nomes com pequenas permutações de palavras-chave como lofy, vida, polar, panda, kakau, mal, diabo e vilão. 

Ao explorar o caso, a Checkmarx supõe que a sua origem é o Brasil, pois muitas das evidências continham frases em português brasileiro e até um arquivo chamado “brazil.js”, que continha malware encontrado em alguns de seus pacotes maliciosos. 

Comunidade ativa 

Dois meses atrás, em agosto de 2022, os pesquisadores da Checkmarx encontraram alguns pacotes maliciosos do LofyGang. Então, imediatamente começaram a investigar e cruzar o IOC, usando ferramentas internas de busca. O que revelou cada vez mais conexões com outros pacotes. Alguns dos pacotes estavam vinculados a relatórios do Sonatype, SecureList e jFrog, mas cada relatório era uma pequena peça de um quebra-cabeça maior. 

Eles também descobriram um servidor próprio do LofyGang dentro do Discord, que foi criado há um ano, em 31 de outubro de 2021, e parece ser o principal canal de comunicação entre os administradores do grupo e os seus membros. Neste servidor Discord, o suporte técnico pode ser encontrado para as ferramentas de hackers do grupo, um grupo de memes obscuros e um bot responsável por distribuir atualizações do Discord Nitro. 

Além desse servidor, o grupo tem outras formas de se comunicar com comunidades interessadas em ferramentas de hacking. O LofyGang tem um canal no YouTube com conteúdo autopromocional, como tutoriais em vídeo, mostrando como usar as suas ferramentas de hacking. Seu canal tem quase 4 mil inscritos. 

O grupo tambémhospeda ferramentas de hacking na conta PolarLofy GitHub. Seus repositórios de código aberto oferecem ferramentas e bots para Discord, como: spam de Discord, roubo de contrasenhas, gerador de Nitro e eliminador de chat. 

Golpes do LofyGang 

Interessante salientar que, apesar de utilizarem o Discord, o grupo também foi visto modificando a instância instalada do Discord, com ganchos para roubar cartões de crédito enviados via webhook Discord diretamente para os invasores, sempre que um pagamento era realizado.  

O grupo está contribuindo para uma comunidade clandestina de hackers sob o pseudônimo DyPolarLofy, onde eles vazam milhares de contas Disney + e Minecraft, promovem suas ferramentas de hackers no GitHub, seus bots e muito mais. 

Parece que a principal oferta de LofyGang nessa comunidade de hackers subterrânea é vender falsos seguidores do Instagram. Isto conecta com alguns dos perfis de pacotes maliciosos; por exemplo, o pacote “fetch-string” é vinculado à conta do Instagram “victorjxl”, que parecia ser uma conta com seguidores falsos. 

Segundo os pesquisadores da Checkmarx, as comunidades estão se formando em torno do uso de software de código aberto para fins maliciosos, ou seja, para compartilhar vírus. Eles acreditam que esta seja o início de uma tendência que deverá aumentar nos próximos meses. Para impedir que isso se torne mais comum, a sugestão da Checkmarx é que o mercado de cibersegurança e as empresas compartilhem informações e trabalhem juntas para manter o ecossistema seguro.