Вредоносное ПО NPM Noblox.js

Исследователи кибербезопасности обнаружили новый опасный пакет под названием noblox.js-rpc в реестре npm. Угроза предназначена для развертывания нескольких инфостилеров, способных получать различные конфиденциальные данные со скомпрометированных машин. Собранные данные могут включать учетные данные учетной записи, личные файлы, а также регистрационный ключ Windows. Заключительный этап атаки noblox.js-rpc включает активацию модуля типа вымогателя.

Технические подробности

Атака начинается с пост-установочного сценария из файла package.json угрозы noblox.js-rpc. Перед получением остальной части опасной полезной нагрузки выполняется проверка среды, поскольку угроза нацелена на системы Windows.исключительно. Если проверка дает положительный результат, вредоносная программа запускает файл setup.bat.

Этот пакетный сценарий работает как дроппер, отвечающий за захват остальных исполняемых файлов, которые являются частью атаки. Было обнаружено четыре дополнительных исполняемых файла: «Rar.bat,» Rar.exe, «Rara.exe» и «Mbr.exe». Пакетный сценарий также добавляет в Защитник Windows общее исключение - «C: /», чтобы функция безопасности не мешала вредоносным действиям.

На следующем этапе атаки запускаются два инфостиллера - Rar.exe и Rara.exe. Сначала запускается специальный стилер Rar.exe для получения файлов сеанса Minecraft жертвы и файлов cookie Roblox. Затем, чтобы убедиться, что все конфиденциальные данные собраны, запускается Rara.exe, и он приступает к сборке различных учетных данных.

На последнем этапе развертывается угроза типа вымогателя, вариант MBRLocker,возможно. Вместо шифрования данных жертвы Mbr.exe перезаписывает основную загрузочную запись системы. Это предотвратит повторную загрузку всей системы, блокируя доступ пользователей ко всем своим файлам. Жертвам будет показано сообщение с требованием выкупа, в котором будет указано, что им нужно будет присоединиться к указанному серверу Discord, чтобы получить дополнительные инструкции о платеже. В записке также упоминается, что требуемый выкуп может составлять от 100 до 500 долларов. Хакеры также предупреждают, что через 48 часов весь жесткий диск будет удален, а собранная информация станет достоянием общественности.

Жертвы Noblox.js

Очевидно, что главными жертвами угрозы являются игроки Roblox. Таким образом, злоумышленники придумали инновационный способ заставить своих жертв установить и запустить опасный пакет. Хакеры присоединяются к определенным серверам разногласий, предназначенным для обмена пользовательскими играми Roblox.

Затем хакеры делают вид, что предлагают пользователям возможность зарабатывать реальные деньги, подписки на платные уровни Discord или Robux, внутриигровой валюты Roblox. Чтобы получить деньги, пользователям необходимо будет разместить ботов, предоставленных злоумышленниками. Конечно, вместо ожидаемой денежной выгоды пользователям предоставляется угроза «Noblox.js», и они столкнутся с ужасными последствиями, если они запустят поврежденный файл.