Luna Grabber
Un actor d'amenaces no identificat s'ha dirigit als desenvolupadors implicats en l'elaboració de guions per a la immensament popular plataforma de jocs Roblox. Aquesta entitat amenaçadora ha aconseguit comprometre més d'una dotzena de paquets de programari de codi obert utilitzats amb freqüència per aquests desenvolupadors. Es va confirmar que els paquets npm manipulats estaven implantats amb un programari maliciós per recopilar informació anomenat Luna Grabber.
Aquesta campanya ofensiva empra estratègies com ara l'ocupació ortogràfica i una sèrie de tècniques d'ofuscació intricades. S'utilitzen per temptar els usuaris a descarregar edicions falses de programari d'ús habitual mitjançant npm, una coneguda biblioteca de programari de codi obert. Tot i que, en nombrosos casos, aquests paquets encara contenen el codi autèntic que busquen els desenvolupadors, també alberguen un assalt de programari maliciós en diverses fases. Aquest assalt és capaç de desencadenar el Luna Grabber en diversos fronts, inclòs el navegador web de la víctima, l'aplicació Discord i altres canals.
El Luna Grabber pot recollir diverses dades sensibles de dispositius trencats
El Luna Grabber funciona com a programari amenaçador amb el propòsit explícit d'extreure dades dels navegadors web, l'aplicació Discord i les configuracions del sistema local. A més, incorpora atributs típics que es troben habitualment en programes insegurs, com ara la capacitat de reconèixer la seva execució en un entorn virtual i un mecanisme d'autodestrucció inherent.
El Luna Grabber compta amb un alt grau d'adaptabilitat. Els atacants tenen la flexibilitat de personalitzar el seu comportament per dur a terme tasques diverses. Mitjançant el conjunt d'eines del creador, els cibercriminals poden configurar sense esforç el Luna Grabber perquè s'iniciï automàticament a l'inici de l'ordinador. Aleshores, pot acumular una sèrie de dades, incloses dades de Wi-Fi i fins i tot codis d'autenticació de dos factors (2FA). A més, pot aprofundir en detalls de jocs com Minecraft.
La presència del Luna Grabber comporta amenaces substancials i danys potencials. Aquest programari malèvol està dissenyat meticulosament per recollir i exfiltrar silenciosament dades personals i sensibles de diverses fonts. Això inclou la informació emmagatzemada als navegadors web, que pot posar en risc les credencials d'inici de sessió, els registres financers, les converses privades, els perfils personals i molt més. En els casos en què la víctima utilitza l'aplicació Discord, Luna Grabber amplia el seu abast per robar dades també d'allà. Això podria exposar debats personals i informació sensible.
A més, la capacitat del Luna Grabber per identificar entorns virtuals i el seu mecanisme d'autodestrucció integrat reflecteix un nivell de sofisticació que augmenta la seva resistència a la detecció i eliminació. Aquesta sofisticació podria provocar una exposició prolongada i una exfiltració de dades en curs.
Roblox ha estat l'objectiu d'atacs de programari maliciós abans
Roblox es descriu com una plataforma de videojocs en línia on, de manera semblant a jocs com Minecraft, els usuaris poden crear mons virtuals i nivells perquè altres hi juguin. Des de la pandèmia de la COVID-19, la seva popularitat ha esclatat, amb informes que indiquen que el joc actualment compta amb uns més de 60 milions d'usuaris actius diaris i més de 200 milions d'usuaris actius mensuals.
La campanya Luna Grabber no és la primera vegada que els desenvolupadors de la popular plataforma de jocs són objectiu de pirates informàtics. L'any 2021, una altra part no identificada va utilitzar un mètode similar que implicava una errada ortogràfica del noblox.js com a vector per lliurar ransomware a les víctimes. La raó podria ser que, a diferència de molts altres jocs populars, és probable que el desenvolupador mitjà que fa nivells de Roblox sigui més jove, no estigui vinculat a una entitat corporativa o empresarial més gran i menys sofisticat sobre les amenaces del programari de codi obert. És probable que els atacants esperen que els seus objectius no tinguin la consciència de seguretat per comprovar realment les biblioteques de tercers que busquen o utilitzen.
Fa anys, hi va haver explosions similars d'activitats cibercriminals dirigides als desenvolupadors de Minecraft, però ara sembla que s'han canviat a Roblox com la següent gran cosa.
