Lofy Stealer

Výzkumníci v oblasti kybernetické bezpečnosti odhalili výhružnou kampaň zaměřenou na data Discord a tokeny jejích obětí. Informace o operaci a malwarových hrozbách používaných útočníky byly zveřejněny ve zprávě expertů na malware. Podle jejich zjištění aktéři hrozeb používají ozbrojené balíčky npm (Node Package Manager) k doručení dvou různých malwarů – zmateného kódu Pythonu, který patří k hrozbě známé jako Volt Stealer, a malwaru v JavaScriptu Lofy Stealer. Útočná kampaň jako celek je sledována jako LofyLife.

Čtyři poškozené moduly npm šířené hackery se jmenují „small-sm“, „pern-valids“, „lifeculer“ nebo „proc-title“. Po provedení zahodí související malware do systému oběti. Lofy Stealer je navržen speciálně k infikování souborů klienta Discord cílového uživatele. Díky tomu mohou útočníci sledovat aktivity oběti. Přesněji řečeno, Lofy Stealer je schopen zjistit, kdy se uživatel přihlásí do Discordu, zda provedl nějaké změny v e-mailu nebo hesle související s účtem a zda je povoleno nebo zakázáno MFA (multi-factor authentication). Ještě důležitější je, že Lofy Stealer dokáže rozpoznat, kdy uživatelé přidají novou platební metodu, a shromáždí všechny zadané platební údaje.

Všechna získaná data jsou poté přenášena na servery hostované v Replitu pod kontrolou aktéra hrozby. Tyto adresy dostupných služeb jsou pevně zakódovány do hrozeb malwaru. Výzkumníci společnosti Infosec varují, že kyberzločinci zodpovědní za operaci LofyLife mohou uvolnit nové škodlivé balíčky npm.