LofyGang Brasil Kembali dengan Kampanye LofyStealer Menyasar Pemain Minecraft

Kelompok kejahatan siber asal Brasil, LofyGang, kembali muncul setelah lebih dari tiga tahun dengan kampanye baru yang menargetkan para pemain Minecraft melalui malware pencuri data bernama LofyStealer atau dikenal juga sebagai GrabBot. Malware ini menyamar sebagai cheat Minecraft berlabel 'Slinky' dan menggunakan ikon resmi game untuk meyakinkan pengguna, terutama anak muda, agar menjalankannya secara sukarela, menurut laporan teknis dari perusahaan keamanan siber Brasil, ZenoX.

Kampanye LofyStealer dan Modus Operandi Baru LofyGang

LofyGang sebelumnya dikenal aktif sejak akhir 2021 dan telah menggunakan metode typosquatting pada paket npm untuk menyebarkan malware pencuri data. Pada 2022, mereka menargetkan pencurian data kartu kredit dan akun pengguna layanan Discord Nitro, game, dan streaming. Kini, kelompok ini mengejar target langsung komunitas Minecraft dengan menyebarkan malware melalui cheat palsu.

"Minecraft sudah menjadi target LofyGang sejak 2022," kata Acassio Silva, salah satu pendiri sekaligus kepala intelijen ancaman ZenoX. "Mereka pernah membocorkan ribuan akun Minecraft dengan alias DyPolarLofy di situs Cracked.io. Kampanye terbaru ini langsung menyasar pemain Minecraft melalui cheat palsu 'Slinky'."

Serangan berawal dari eksekusi cheat Minecraft yang memicu pemuatan JavaScript loader untuk menginstal LofyStealer dengan nama file "chromelevator.exe" pada komputer korban. Malware ini berjalan langsung di memori, berupaya mencuri beragam data sensitif dari berbagai browser populer seperti Google Chrome, Microsoft Edge, Brave, Opera, Firefox, dan Avast Browser.

Data yang Dicuri dan Server Kontrol

Data yang dicuri meliputi cookie, password, token, data kartu kredit, dan Nomor Rekening Bank Internasional (IBAN). Semua data ini kemudian dikirim ke server command-and-control (C2) di alamat IP 24.152.36[.]241.

ZenoX menjelaskan, LofyGang sebelumnya banyak menggunakan rantai pasokan JavaScript dengan teknik canggih seperti typosquatting, starjacking, dan menyisipkan payload dalam sub-dependensi untuk menghindari deteksi. Fokus utama mereka dulu adalah mencuri token Discord dan memodifikasi klien Discord untuk menyadap data kartu kredit, serta mengirimkan data lewat webhooks yang memanfaatkan layanan sah seperti Discord, Repl.it, GitHub, dan Heroku sebagai server C2.

Perubahan Strategi dan Model Bisnis Malware-as-a-Service

Kampanye LofyStealer menunjukkan pergeseran signifikan dari teknik lama ke model malware-as-a-service (MaaS) dengan tingkatan gratis dan premium. Mereka juga menyediakan pembuat malware khusus bernama Slinky Cracked untuk memudahkan distribusi stealer ini.

Kejahatan siber kini makin memanfaatkan kepercayaan pada platform populer seperti GitHub untuk menampung repositori palsu sebagai umpan malware seperti SmartLoader, StealC Stealer, dan Vidar Stealer. Teknik seperti SEO poisoning juga digunakan untuk mengarahkan korban ke situs berbahaya.

Misalnya, malware Vidar 2.0 pernah disebarkan lewat posting Reddit yang menawarkan cheat palsu Counter-Strike 2, yang mengarahkan ke situs web berbahaya berisi file ZIP malware.

Rantai Serangan Meluas di GitHub dan Platform Lain

• Serangan langsung ke pengembang di GitHub melalui diskusi palsu yang mengaku sebagai peringatan keamanan Microsoft Visual Studio Code, menipu pengguna menginstall malware.
• Target sistem peradilan Argentina dengan spear-phishing yang mengirim arsip ZIP berisi skrip batch sebagai tahap awal mengunduh Trojan akses jarak jauh (RAT) dari GitHub.
• Pembuatan akun GitHub dan aplikasi OAuth palsu untuk mengelabui pengembang agar memberikan token akses dengan pemberitahuan email palsu.
• Penyebaran skrip batch jahat melalui repositori GitHub palsu yang menyamar sebagai software keamanan, mengunduh downloader TookPS dan RAT multi-tahap seperti MineBridge (TeviRAT).
• Penggunaan repositori palsu yang mengaku menyediakan alat AI, cheat game, skrip Roblox, pelacak nomor telepon, dan VPN palsu dalam kampanye bernama TroyDen's Lure Factory, yang menyebarkan payload Trojan umum.

"Beragam umpan dari cheat game, alat pengembang, pelacak telepon, hingga skrip Roblox menunjukkan aktor ini mengincar volume pengguna yang luas, bukan sasaran spesifik," kata Netskope. "Setiap unduhan dari GitHub yang menggabungkan interpreter dengan file data yang tidak jelas harus diprioritaskan dalam triase keamanan, meski repositori terlihat sah."

Analisis Redaksi

Menurut pandangan redaksi, kebangkitan LofyGang dengan LofyStealer adalah peringatan serius bagi ekosistem gaming dan pengembang perangkat lunak. Dengan semakin canggihnya teknik penyamaran dan pemanfaatan platform terpercaya seperti GitHub, ancaman malware berubah menjadi lebih sulit dikenali dan dicegah oleh pengguna biasa maupun profesional IT. Ini menandakan bahwa serangan rantai pasokan dan infostealer akan terus menjadi tren berbahaya yang memanfaatkan kepercayaan sosial dan teknik rekayasa sosial.

Selain itu, model bisnis MaaS yang diterapkan LofyGang memungkinkan lebih banyak pelaku kejahatan siber untuk mengakses malware canggih tanpa harus mengembangkan sendiri, sehingga potensi kerusakan dan penyebaran malware meningkat drastis. Masyarakat dan industri harus waspada dan meningkatkan edukasi keamanan digital, terutama bagi komunitas gamers muda yang rentan menjadi korban rekayasa sosial.

Kedepannya, pengawasan dan pengamanan pada platform distribusi software seperti GitHub harus diperketat dengan sistem deteksi otomatis yang lebih canggih dan edukasi pengguna yang lebih luas agar tidak mudah terjerat oleh jebakan malware yang mengatasnamakan cheat atau alat populer lainnya.

Untuk informasi lebih lengkap dan update terkini, kunjungi artikel asli di The Hacker News dan sumber terpercaya lainnya.