البرامج الضارة NPM "Noblox.js"

تم اكتشاف حزمة تهديد جديدة تسمى "noblox.js-rpc" في سجل npm بواسطة باحثين في مجال الأمن السيبراني. تم تصميم التهديد لنشر العديد من المخبرين القادرين على الحصول على بيانات حساسة متنوعة من الأجهزة المخترقة. يمكن أن تتضمن البيانات المجمعة بيانات اعتماد الحساب والملفات الخاصة بالإضافة إلى مفتاح تسجيل windows. تتضمن المرحلة الأخيرة من هجوم noblox.js-rpc تنشيط وحدة نمطية من نوع ransomware.

تفاصيل تقنية

يبدأ الهجوم بنص ما بعد التثبيت من ملف package.json للتهديد noblox.js-rpc. قبل إحضار بقية الحمولة المهددة ، يتم إجراء فحص للبيئة ، حيث يستهدف التهديد أنظمة Windowsبمفرده. إذا أرجع الفحص نتيجة إيجابية ، فإن البرنامج الضار يستمر في تنفيذ ملف setup.bat.

يعمل البرنامج النصي الدفعي هذا كقطارة مسؤولة عن الاستيلاء على بقية الملفات التنفيذية التي تشكل جزءًا من الهجوم. تم تحديد أربعة ملفات تنفيذية إضافية - "Rar.bat" و "Rar.exe" و "Rara.exe" و "Mbr.exe". يضيف البرنامج النصي الدفعي أيضًا استثناءً عامًا - "C: /" إلى Windows Defender لإيقاف ميزة الأمان من التداخل مع أنشطتها الضارة.

تتكون المرحلة التالية من الهجوم من تشغيل المختبرين - Rar.exe و Rara.exe. أولاً ، يتم تنفيذ أداة السرقة المخصصة Rar.exe للحصول على ملفات جلسة Minecraft الخاصة بالضحية وملفات تعريف ارتباط Roblox. بعد ذلك ، للتأكد من أنه تم حصاد جميع البيانات الحساسة ، يتم بدء Rara.exe ويستمر في تجميع بيانات اعتماد مختلفة.

تتمثل الخطوة الأخيرة في نشر تهديد من نوع برامج الفدية ، وهو أحد أشكال MBRLocker ،ربما. بدلاً من تشفير بيانات الضحية ، يقوم Mbr.exe بالكتابة فوق سجل التمهيد الرئيسي للنظام. سيؤدي القيام بذلك إلى منع النظام بأكمله من التشغيل مرة أخرى ، مما يمنع المستخدمين من الوصول إلى جميع ملفاتهم. سيتم عرض رسالة فدية للضحايا ، تفيد بأنهم سيحتاجون إلى الانضمام إلى خادم خلاف محدد لتلقي تعليمات إضافية حول الدفع. تشير المذكرة أيضًا إلى أن الفدية المطلوبة قد تتراوح من 100 دولار إلى 500 دولار. كما حذر المتسللون من أنه بعد 48 ساعة ، سيتم مسح القرص الصلب بأكمله بينما سيتم تسريب المعلومات التي تم جمعها للجمهور.

ضحايا Noblox.js

من الواضح أن الضحايا الرئيسيين للتهديد هم لاعبو لعبة roblox. على هذا النحو ، توصل المهاجمون إلى طريقة مبتكرة لخداع ضحاياهم لتثبيت حزمة التهديد وتشغيلها. ينضم المتسللون إلى خوادم خلاف معينة مخصصة لمشاركة ألعاب Roblox المخصصة.

ثم يتظاهر المتسللون بأنهم يعرضون على المستخدمين فرصة لكسب أموال حقيقية واشتراكات في المستويات المدفوعة من Discord أو Robux ، عملة Roblox داخل اللعبة. للحصول على المال ، سيحتاج المستخدمون إلى استضافة روبوتات يوفرها المهاجمون. بالطبع ، بدلاً من المكاسب المالية المتوقعة ، يتم منح المستخدمين تهديد "Noblox.js" وسيعانون من عواقب وخيمة إذا قاموا بتشغيل الملف التالف.