"Noblox.js" NPM-haittaohjelma

Kyberturvallisuustutkijat havaitsivat npm-rekisteristä uuden uhkaavan paketin nimeltä "noblox.js-rpc". Uhka on suunniteltu ottamaan käyttöön useita tietovarastoja, jotka pystyvät hankkimaan erilaisia arkaluonteisia tietoja vaarantuneista koneista. Kerätyt tiedot voivat sisältää tilin tunnistetietoja, yksityisiä tiedostoja sekä Windowsin rekisteröintiavaimen. Noblox.js-rpc-hyökkäyksen viimeinen vaihe sisältää ransomware-tyyppisen moduulin aktivoinnin.

Tekniset yksityiskohdat

Hyökkäys alkaa asennuksen jälkeisellä komentosarjalla noblox.js-rpc-uhan package.json-tiedostosta. Ennen kuin loput uhkaavat hyötykuormat haetaan, suoritetaan ympäristön tarkistus, koska uhka kohdistuu Windows-järjestelmiinyksinomaan. Jos tarkistus antaa positiivisen tuloksen, haittaohjelma suorittaa setup.bat-tiedoston.

Tämä eräskripti toimii dropperina, joka on vastuussa muiden hyökkäyksen osana olevien suoritettavien tiedostojen nappaamisesta. Neljä muuta suoritettavaa tiedostoa on tunnistettu - "Rar.bat", "Rar.exe", "Rara.exe" ja "Mbr.exe". Eräkomentosarja lisää myös yleisen poikkeuksen - "C:/" Windows Defenderiin estääkseen suojausominaisuutta häiritsemästä sen haitallisia toimintoja.

Hyökkäyksen seuraava vaihe koostuu kahden tietovarastajan - Rar.exe ja Rara.exe - ajamisesta. Ensin räätälöity varastaja Rar.exe suoritetaan saadakseen uhrin Minecraft-istuntotiedostot ja Roblox-evästeet. Sen jälkeen varmistaakseen, että kaikki arkaluontoiset tiedot on kerätty, Rara.exe käynnistetään ja se jatkaa erilaisten valtuustietojen keräämistä.

Viimeisessä vaiheessa otetaan käyttöön ransomware-tyyppinen uhka, MBRLocker-versio,mahdollisesti. Sen sijaan, että Mbr.exe salaa uhrin tiedot, se ylikirjoittaa järjestelmän pääkäynnistystietueen. Tämä estää koko järjestelmää käynnistymästä uudelleen ja estää käyttäjiä pääsemästä kaikkiin tiedostoihinsa. Uhreille näytetään lunnaita koskeva viesti, jossa sanotaan, että heidän on liityttävä tietylle ristiriitapalvelimelle saadakseen lisäohjeita maksusta. Muistiossa mainitaan myös, että vaadittu lunnaat voivat vaihdella 100 dollarista 500 dollariin. Hakkerit varoittavat myös, että 48 tunnin kuluttua koko kiintolevy tyhjennetään ja kerätyt tiedot vuotavat yleisölle.

Noblox.js:n uhrit

On ilmeistä, että uhan pääasialliset uhrit ovat Roblox-pelaajat. Sellaisenaan hyökkääjät ovat keksineet innovatiivisen tavan huijata uhrinsa asentamaan ja suorittamaan uhkaava paketti. Hakkerit liittyvät tiettyihin ristiriitapalvelimiin, jotka on omistettu räätälöityjen Roblox-pelien jakamiseen.

Sitten hakkerit teeskentelevät tarjoavansa käyttäjille mahdollisuuden ansaita oikeaa rahaa, tilauksia Discordin tai Robuxin, pelin sisäisen Roblox-valuutan, maksullisille tasoille. Rahan saamiseksi käyttäjien tulee isännöidä hyökkääjien tarjoamia botteja. Tietenkin, odotettujen rahallisten hyötyjen sijaan käyttäjille annetaan "Noblox.js"-uhka, ja he kärsivät vakavista seurauksista, jos he suorittavat vioittuneen tiedoston.