عودة لوفي غانغ: برمجية خبيثة تستهدف لاعبي ماينكرافت الآن

كشف تقرير أمني جديد عن عودة عصابة لوفي غانغ (LofyGang) البرازيلية بحملة خبيثة تستهدف لاعبي ماينكرافت لسرقة بياناتهم البنكية وحساباتهم الشخصية عبر برمجية لوفي ستيلر.

ما هي برمجية لوفي ستيلر وكيف تستهدف اللاعبين؟

عادت عصابة الجرائم الإلكترونية البرازيلية المعروفة باسم لوفي غانغ للظهور مجدداً بعد غياب دام أكثر من ثلاث سنوات. تستهدف الحملة الجديدة لاعبي لعبة ماينكرافت الشهيرة، مستخدمة برمجية خبيثة جديدة تُعرف باسم لوفي ستيلر (LofyStealer)، والتي يُطلق عليها أيضاً اسم GrabBot.

تعتمد هذه البرمجية على الخداع البصري والنفسي، حيث تتخفى في شكل أدوات غش (Hacks) للعبة ماينكرافت تحت اسم Slinky. وفقاً لما ذكره تيكبامين، تستغل العصابة ثقة المستخدمين الشباب في مجتمع الألعاب من خلال الآتي:

• استخدام أيقونة اللعبة الرسمية لإغراء الضحايا بالتحميل.
• الادعاء بأنها توفر ميزات غش حصرية للعبة.
• استغلال رغبة اللاعبين في الحصول على ميزات متقدمة مجانًا.

كيف يتم اختراق أجهزة ضحايا لعبة ماينكرافت؟

تبدأ عملية الهجوم عند محاولة تشغيل هاك ماينكرافت المزيف، مما يؤدي إلى تفعيل محمل جافا سكريبت (JavaScript loader). هذا المحمل مسؤول عن نشر ملف تنفيذي يسمى chromelevator.exe مباشرة في ذاكرة الجهاز لتجنب الاكتشاف من قبل برامج الحماية التقليدية.

المتصفحات المستهدفة من قبل البرمجية:

تستطيع البرمجية الخبيثة، حسب تقارير رصدها تيكبامين، سحب البيانات من مجموعة واسعة من المتصفحات تشمل:

• جوجل كروم (Google Chrome).
• مايكروسوفت إيدج (Microsoft Edge).
• بريف (Brave) وأوبرا (Opera).
• موزيلا فايرفوكس (Mozilla Firefox).
• متصفح أفاست (Avast Browser).

ما هي البيانات التي تسعى عصابة لوفي غانغ لسرقتها؟

لا تقتصر أهداف العصابة على حسابات الألعاب فقط، بل تمتد لتشمل بيانات حساسة للغاية يتم إرسالها إلى خوادم تحكم وسيطة. تهدف الحملة إلى سرقة كل ما يمكن استغلاله مادياً أو تقنياً، بما في ذلك:

• ملفات تعريف الارتباط (Cookies) وكلمات المرور المخزنة.
• رموز الوصول (Tokens) لخدمات مثل ديسكورد (Discord).
• بيانات بطاقات الائتمان وأرقام الحسابات البنكية الدولية (IBANs).
• حسابات ديسكورد نيترو (Discord Nitro) وخدمات البث المباشر.

تطور أساليب عصابة لوفي غانغ الإجرامية

كانت المجموعة سابقاً تعتمد على سلاسل توريد البرمجيات عبر حزم npm المزيفة، لكنها تحولت الآن نحو نموذج البرمجيات الخبيثة كخدمة (Malware-as-a-Service). يوفر هذا النموذج مستويات مجانية ومدفوعة للمجرمين الآخرين لاستخدام أدواتهم التخريبية، مما يزيد من رقعة انتشار التهديد.

تنشط المجموعة منذ أواخر عام 2021، وقد قامت سابقاً بتسريب آلاف الحسابات الخاصة بـ ديزني بلس وماينكرافت عبر منصات القرصنة السرية. يحذر الخبراء في تيكبامين من تحميل أي ملفات غير موثوقة تدعي توفير ميزات غش في الألعاب، حيث تظل هذه هي الثغرة الأكبر التي ينفذ منها المخترقون إلى أجهزة المستخدمين وسرقة هوياتهم الرقمية.