Malware NPM 'Noblox.js'

Malware NPM 'Noblox.js'

Výzkumníci v oblasti kybernetické bezpečnosti objevili v registru npm nový ohrožující balíček s názvem 'noblox.js-rpc'. Hrozba je navržena tak, aby nasadila několik infostealerů schopných získávat různá citlivá data z napadených strojů. Shromážděná data mohou zahrnovat přihlašovací údaje k účtu, soukromé soubory a také registrační klíč systému Windows. Poslední fáze útoku noblox.js-rpc zahrnuje aktivaci modulu typu ransomware.

Technické údaje

Útok začíná poinstalačním skriptem ze souboru package.json hrozby noblox.js-rpc. Před načtením zbytku ohrožující užitečné zátěže je provedena kontrola prostředí, protože hrozba je zaměřena na systémy Windowsvýhradně. Pokud kontrola vrátí kladný výsledek, malware pokračuje ve spuštění souboru setup.bat.

Tento dávkový skript funguje jako dropper zodpovědný za zachycení zbytku spustitelných souborů, které jsou součástí útoku. Byly identifikovány čtyři další spustitelné soubory – „Rar.bat“, „Rar.exe“, „Rara.exe“ a „Mbr.exe“. Dávkový skript také přidává do programu Windows Defender obecnou výjimku – „C:/“, aby zabránil bezpečnostní funkci v zasahování do jejích škodlivých aktivit.

Další fáze útoku spočívá ve spuštění dvou infostealerů - Rar.exe a Rara.exe. Nejprve se spustí vlastní zloděj Rar.exe, aby získal soubory relace Minecraft oběti a soubory cookie Roblox. Poté, aby se ujistil, že byla shromážděna všechna citlivá data, je spuštěn Rara.exe a pokračuje ve shromažďování různých přihlašovacích údajů.

Posledním krokem je nasazení hrozby typu ransomware, varianty MBRLocker,možná. Namísto šifrování dat oběti Mbr.exe přepíše hlavní spouštěcí záznam systému. Pokud tak učiníte, zabráníte opětovnému spuštění celého systému a zablokujete uživatelům přístup ke všem jejich souborům. Obětem se zobrazí zpráva o výkupném, ve které bude uvedeno, že se budou muset připojit k určenému discord serveru, aby obdržely další pokyny k platbě. Poznámka také uvádí, že požadované výkupné se může pohybovat od 100 do 500 dolarů. Hackeři také varují, že po 48 hodinách bude vymazán celý pevný disk, zatímco shromážděné informace uniknou veřejnosti.

Oběti Noblox.js

Je zřejmé, že hlavní obětí hrozby jsou hráči Roblox. Útočníci jako takoví přišli s inovativním způsobem, jak přimět své oběti k instalaci a spuštění ohrožujícího balíčku. Hackeři se připojují ke specifickým discord serverům určeným ke sdílení vlastních her Roblox.

Hackeři pak předstírají, že uživatelům nabízejí příležitost vydělat skutečné peníze, předplatné placených úrovní Discordu nebo Robuxu, měny Roblox ve hře. Aby uživatelé získali peníze, budou muset hostit roboty poskytnuté útočníky. Samozřejmě, že místo očekávaných peněžních zisků jsou uživatelé vystaveni hrozbě 'Noblox.js' a ponesou hrozné následky, pokud spustí poškozený soubor.

Loading...