Minecraft steht laut ZenoX bereits seit 2022 im Visier von LofyGang. Acassio Silva, Mitgründer und Leiter der Threat Intelligence bei ZenoX, erklärte gegenüber The Hacker News, die Gruppe habe unter dem Alias DyPolarLofy auf Cracked.io Tausende Minecraft-Konten geleakt. Die jetzige Kampagne gehe über den gefälschten „Slinky"-Cheat direkt auf die Spieler los.

Der Angriff beginnt mit dem Start des vermeintlichen Minecraft-Cheats. Dabei wird ein JavaScript-Loader ausgeführt, der schließlich LofyStealer („chromelevator.exe") auf dem kompromittierten System einschleust und direkt im Arbeitsspeicher ausführt. Ziel ist das Abgreifen sensibler Daten aus zahlreichen Browsern, darunter Google Chrome, Chrome Beta, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox und Avast Browser.

Erbeutet werden unter anderem Cookies, Passwörter, Tokens, Kartendaten und internationale Bankkontonummern (IBANs). Die gesammelten Informationen werden an einen Command-and-Control-Server unter der Adresse 24.152.36[.]241 ausgeleitet.

Historisch setzte die Gruppe laut ZenoX vor allem auf die JavaScript-Lieferkette: Typosquatting bei npm-Paketen, „Starjacking" — also gefälschte Verweise auf legitime GitHub-Repositorys, um Glaubwürdigkeit vorzutäuschen — sowie in Unterabhängigkeiten eingebettete Schadlasten zur Tarnung. Im Mittelpunkt standen der Diebstahl von Discord-Tokens, die Manipulation des Discord-Clients zum Abfangen von Kreditkartendaten und die Datenausleitung über Webhooks legitimer Dienste wie Discord, Repl.it, Glitch, GitHub und Heroku als C2-Infrastruktur.

Die neue Kampagne markiert eine Abkehr von diesem bisherigen Vorgehen und eine Hinwendung zu einem Malware-as-a-Service-Modell mit kostenlosen und kostenpflichtigen Stufen. Zur Verbreitung des Stealers dient ein eigens entwickelter Builder namens Slinky Cracked.

Der Bericht erscheint vor dem Hintergrund, dass Angreifer zunehmend das Vertrauen in Plattformen wie GitHub missbrauchen, um gefälschte Repositorys als Köder für Schadsoftware wie SmartLoader, StealC Stealer und Vidar Stealer zu hosten. Nutzer werden etwa durch SEO-Vergiftung auf diese Seiten gelenkt. In einem Fall wurde Vidar 2.0 über Reddit-Beiträge verbreitet, die gefälschte Cheats für Counter-Strike 2 bewarben und Opfer auf eine Website mit einem schädlichen ZIP-Archiv weiterleiteten.

Laut einer kürzlich veröffentlichten Analyse von Acronis zeigt die Kampagne ein anhaltendes Sicherheitsproblem: Weithin vertraute Plattformen werden zur Verteilung schädlicher Inhalte missbraucht, wodurch Angreifer über soziales Vertrauen und gängige Download-Kanäle herkömmliche Schutzlösungen umgehen.

Netskope verweist auf die Bandbreite der eingesetzten Köder — von Spiele-Cheats über Entwicklerwerkzeuge, Telefon-Tracker und Roblox-Skripte bis zu VPN-Crackern. Das deute auf einen Akteur hin, der auf Masse über viele Zielgruppen setze statt auf präzise Auswahl. Sicherheitsverantwortliche sollten jeden über GitHub angebotenen Download, der einen umbenannten Interpreter mit einer undurchsichtigen Datendatei kombiniert, vorrangig prüfen — unabhängig davon, wie seriös das umgebende Repository wirke.