NPM злонамерен софтуер „Noblox.js“.

Нов заплашителен пакет, наречен 'noblox.js-rpc', беше открит в регистъра на npm от изследователи по киберсигурност. Заплахата е предназначена да разгърне няколко кражби на информация, способни да получат различни чувствителни данни от компрометираните машини. Събраните данни могат да включват идентификационни данни за акаунт, лични файлове, както и регистрационния ключ на Windows. Последният етап от атаката noblox.js-rpc включва активиране на модул от тип ransomware.

Технически подробности

Атаката започва със скрипт след инсталиране от файла package.json на заплахата noblox.js-rpc. Преди да се извлече останалата част от заплашителния полезен товар, се извършва проверка на средата, тъй като заплахата е насочена към Windows системиединствено. Ако проверката върне положителен резултат, зловредният софтуер продължава да изпълнява файл setup.bat.

Този пакетен скрипт работи като капкомер, отговорен за грабването на останалите изпълними файлове, които са част от атаката. Идентифицирани са четири допълнителни изпълними файла – „Rar.bat“, „Rar.exe“, „Rara.exe“ и „Mbr.exe“. Пакетният скрипт също така добавя общо изключение - "C:/" към Windows Defender, за да спре функцията за сигурност да пречи на вредните й дейности.

Следващата фаза на атаката се състои в стартиране на двата инфокрадца - Rar.exe и Rara.exe. Първо, персонализираният крадец Rar.exe се изпълнява, за да получи файловете на сесията на Minecraft на жертвата и бисквитките на Roblox. След това, за да се уверите, че всички чувствителни данни са събрани, се стартира Rara.exe и пристъпва към събиране на различни идентификационни данни.

Последната стъпка вижда внедряването на заплаха от тип ransomware, вариант на MBRLocker,вероятно. Вместо да криптира данните на жертвата, Mbr.exe презаписва главния запис за зареждане на системата. Това ще попречи на цялата система да се стартира отново, блокирайки достъпа на потребителите до всичките им файлове. На жертвите ще се покаже съобщение за откуп, в което се посочва, че те ще трябва да се присъединят към определен сървър на дискорд, за да получат допълнителни инструкции относно плащането. В бележката се споменава също, че исканият откуп може да варира от $100 до $500. Хакерите също така предупреждават, че след 48 часа целият твърд диск ще бъде изтрит, а събраната информация ще бъде изтекла до обществеността.

Жертви на Noblox.js

Очевидно е, че основните жертви на заплахата са играчите на Roblox. Като такива, нападателите са измислили иновативен начин да подмамят жертвите си да инсталират и стартират заплашителния пакет. Хакерите се присъединяват към специфични сървъри на дискорд, предназначени за споделяне на персонализирани игри на Roblox.

След това хакерите се преструват, че предлагат на потребителите възможност да печелят реални пари, абонаменти за платените нива на Discord или Robux, валутата на Roblox в играта. За да получат парите, потребителите ще трябва да хостват ботове, предоставени от нападателите. Разбира се, вместо очакваните парични печалби, потребителите получават заплахата „Noblox.js“ и ще понесат тежки последици, ако стартират повредения файл.