MalwareCyberkriminalitätHackerangriffe

Brasilianische Hackergruppe LofyGang kehrt mit neuer Minecraft-Malware zurück

Von CyberDeutsch Redaktion
Brasilianische Hackergruppe LofyGang kehrt mit neuer Minecraft-Malware zurück
Zusammenfassung

Die brasilianische Cyberkriminalgruppe LofyGang ist nach einer dreijährigen Pause mit einer neuen Kampagne zurückgekehrt, die gezielt Minecraft-Spieler ins Visier nimmt. Die Angreifer verbreiten dabei eine neue Malware namens LofyStealer, die sich als beliebter Minecraft-Hack namens „Slinky" tarnt und das offizielle Spiel-Icon nutzt, um das Vertrauen insbesondere junger Spieler auszunutzen. Die Bedrohungsgruppe, die seit 2021 aktiv ist, hat sich in der Vergangenheit durch Typosquatting auf der JavaScript-Plattform npm hervorgetan und konzentriert sich nun auf ein Malware-as-a-Service-Modell mit kostenlosen und kostenpflichtigen Versionen. Das Schadprogramm sammelt sensible Daten wie Passwörter, Cookies, Tokens, Kreditkartendaten und Bankkonten aus mehreren Browsern. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, besonders für Familien mit Kindern, die Minecraft spielen, sowie für Betriebe mit Mitarbeitern, die beliebte Plattformen nutzen. Die Kampagne unterstreicht die wachsende Problematik, dass vertrauenswürdige Plattformen wie GitHub von Cyberkriminellen missbraucht werden, um Malware zu verbreiten – ein Trend, der kontinuierlich an Bedeutung gewinnt und spezialisierte Sicherheitsmaßnahmen erfordert.

Die Rückkehr von LofyGang signalisiert eine besorgniserregende Eskalation im Bereich der Gaming-Malware. Die Gruppe, die bereits seit Ende 2021 aktiv ist, hatte sich zunächst durch Typosquatting auf der npm-Registry bemerkbar gemacht – eine Technik, bei der Pakete mit ähnlichen Namen wie populäre Libraries hochgeladen werden, um Entwickler zum versehentlichen Download zu verleiten. Damals lag der Fokus auf dem Diebstahl von Discord-Nitro-Konten und Kreditkartendaten.

Die aktuelle Kampagne zeigt eine strategische Neuausrichtung. Statt Supply-Chain-Angriffe auf Entwickler zu nutzen, richtet LofyGang sich nun direkt an Gaming-Enthusiasten. Das Malware-Verbreitungsmodell beginnt mit einem vermeintlichen Minecraft-Hack namens „Slinky”, dessen Icon das offizielle Minecraft-Logo imitiert. Beim Ausführen triggert die Datei einen JavaScript-Loader, der wiederum die Hauptmalware (chromelevator.exe) bereitstellt und direkt im RAM ausführt – eine Technik, die traditionelle Antivirus-Lösungen häufig umgeht.

Das gestohlene Material wird zu einem Command-and-Control-Server unter der IP 24.152.36[.]241 übertragen. Neben klassischen Browserdaten wie Cookies und Passwörtern zielt LofyStealer auch auf sensitive Banking-Informationen wie IBAN-Nummern ab – ein Indikator für organisierte Cyberkriminalität mit finanziellen Motiven.

Besonders bemerkenswert ist die Verschiebung zu einem Malware-as-a-Service-Modell (MaaS) mit kostenlosen und Premium-Varianten. Das zeigt, dass LofyGang nicht nur selbst Anschläge durchführt, sondern auch andere Kriminelle mit Werkzeugen beliefert.

Die Missbrauchung vertrauenswürdiger Plattformen wie GitHub verstärkt das Risiko erheblich. Forscher warnen, dass Threat-Actors zunehmend techniken wie SEO-Poisoning einsetzen, um Nutzer auf gefälschte Repositories zu leiten, die als Verbreitungskanäle für verschiedenste Malware-Familien dienen – von SmartLoader bis Vidar Stealer.

Deutsche Nutzer und Unternehmen sollten skeptisch gegenüber vermeintlichen Game-Cracks und Modifikationen sein. Das BSI empfiehlt, Software nur aus offiziellen Quellen herunterzuladen und bei verdächtigen Dateien Browser-Sandbox-Tools zu nutzen. Für Organisationen ist eine regelmäßige Überwachung verdächtiger GitHub-Aktivitäten essentiell.

Ähnliche Artikel