Luna Grabber

Neznámý aktér ohrožení se zaměřuje na vývojáře zapojené do vytváření skriptů pro nesmírně populární herní platformu Roblox. Této hrozivé entitě se podařilo kompromitovat více než tucet softwarových balíků s otevřeným zdrojovým kódem, které takoví vývojáři často využívají. Bylo potvrzeno, že zfalšované balíčky npm byly implantovány malwarem shromažďujícím informace jménem Luna Grabber.

Tato útočná kampaň využívá strategie, jako je typo-squatting a řada složitých matovacích technik. Používají se k pokušení uživatelů ke stažení padělaných edic běžně používaného softwaru prostřednictvím npm, renomované softwarové knihovny s otevřeným zdrojovým kódem. Ačkoli v mnoha případech tyto balíčky stále obsahují autentický kód, který vývojáři hledají, ukrývají také vícefázový útok malwaru. Tento útok je schopen rozpoutat Luna Grabber na různých frontách, včetně webového prohlížeče oběti, aplikace Discord a dalších kanálů.

Luna Grabber může sbírat různé citlivé informace z narušených zařízení

Luna Grabber funguje jako ohrožující software s explicitním účelem extrahovat data z webových prohlížečů, aplikace Discord a konfigurací místního systému. Kromě toho obsahuje typické atributy, které se běžně vyskytují v nebezpečných programech, jako je schopnost rozpoznat jejich spuštění ve virtuálním prostředí a vlastní autodestrukční mechanismus.

Luna Grabber se může pochlubit vysokým stupněm přizpůsobivosti. Útočníci mají flexibilitu přizpůsobit své chování k provádění různých úkolů. Prostřednictvím sady nástrojů pro tvůrce mohou kyberzločinci bez námahy nakonfigurovat Luna Grabber tak, aby se automaticky spustil při spuštění počítače. Poté může shromáždit řadu dat, včetně údajů o Wi-Fi a dokonce kódů dvoufaktorové autentizace (2FA). Navíc se může ponořit do specifik her, jako je Minecraft.

Přítomnost Luna Grabber přináší značné hrozby a potenciální škody. Tento zlovolný software je pečlivě vytvořen tak, aby tiše sbíral a exfiltroval osobní a citlivá data z různých zdrojů. To zahrnuje informace uložené ve webových prohlížečích, které potenciálně ohrožují přihlašovací údaje, finanční záznamy, soukromé konverzace, osobní profily a další. V případech, kdy oběť používá aplikaci Discord, Luna Grabber rozšiřuje svůj dosah na krádež dat i odtud. To by mohlo potenciálně odhalit osobní diskuse a citlivé informace.

Kromě toho schopnost Luna Grabber identifikovat virtuální prostředí a jeho vestavěný samodestrukční mechanismus odráží úroveň sofistikovanosti, která zvyšuje jeho odolnost vůči detekci a odstranění. Tato propracovanost by mohla vést k dlouhodobé expozici a neustálému úniku dat.

Roblox byl terčem malwarových útoků již dříve

Roblox je popisován jako online videoherní platforma, kde, podobně jako ve hrách jako Minecraft, mohou uživatelé vytvářet virtuální světy a úrovně, ve kterých mohou hrát ostatní. Od pandemie COVID-19 její popularita explodovala a zprávy naznačovaly, že se hra v současnosti může pochlubit asi více než 60 milionů aktivních uživatelů denně a více než 200 milionů aktivních uživatelů měsíčně.

Kampaň Luna Grabber není prvním případem, kdy se vývojáři velmi populární herní platformy stali terčem hackerů. V roce 2021 jiná neznámá strana použila podobnou metodu zahrnující typo-squatting noblox.js jako vektor k doručení ransomwaru obětem. Důvodem může být to, že na rozdíl od mnoha jiných populárních her bude průměrný vývojář vytvářející úrovně Roblox pravděpodobně mladší, nepřipojený k větší společnosti nebo obchodnímu subjektu a méně sofistikovaný ohledně hrozeb z open-source softwaru. Útočníci pravděpodobně doufají, že jejich cíle nemají dostatečné povědomí o zabezpečení, aby skutečně prověřili knihovny třetích stran, které hledají nebo používají.

Před lety došlo k podobným výbuchům kyberzločineckých aktivit zaměřených na vývojáře Minecraftu, ale nyní se zdá, že přešli na Roblox jako další velkou věc.