Threat Database Stealers Lofy Stealer

Lofy Stealer

Изследователи на киберсигурността разкриха заплашителна кампания, насочена към данните на Discord и токените на нейните жертви. Информация за операцията и заплахите от зловреден софтуер, използвани от нападателите, беше публикувана в доклад на експерти по зловреден софтуер. Според техните открития, участниците в заплахата използват въоръжени npm (Node Package Manager) пакети, за да доставят два различни зловреден софтуер – обфускиран код на Python, който принадлежи на заплаха, известна като Volt Stealer, и JavaScript зловреден софтуер с име Lofy Stealer. Кампанията за атака като цяло се проследява като LofyLife.

Четирите повредени npm модула, разпространявани от хакерите, се наричат „small-sm“, „pern-valids“, „lifeculer“ или „proc-title“. След като бъдат изпълнени, те ще пуснат свързания зловреден софтуер в системата на жертвата. Lofy Stealer е проектиран специално за заразяване на клиентските файлове на Discord на целевия потребител. Това позволява на нападателите да наблюдават дейностите на жертвата. За да бъдем по-точни, Lofy Stealer е в състояние да открие кога потребителят влиза в Discord, ако прави промени в имейла или паролата, свързани с акаунта, и дали MFA (многофакторно удостоверяване) е активирано или деактивирано. По-важното е, че Lofy Stealer може да разпознае, когато потребителите добавят нов метод на плащане и ще събере всички въведени данни за плащане.

След това всички събрани данни се предават на хоствани от Replit сървъри под контрола на заплахата. Тези адреси на наличните услуги са твърдо кодирани в заплахите за злонамерен софтуер. Изследователите на Infosec предупреждават, че нови злонамерени npm пакети могат да бъдат пуснати от киберпрестъпниците, отговорни за операцията LofyLife.

Тенденция

Най-гледан

Зареждане...