Threat Database Stealers Lofy Stealer

Lofy Stealer

En truende kampagne rettet mod Discord-data og tokens fra dets ofre er blevet afsløret af cybersikkerhedsforskere. Oplysninger om operationen og malware-trusler brugt af angriberne blev offentliggjort i en rapport fra malware-eksperter. Ifølge deres resultater bruger trusselsaktørerne våbenbaserede npm (Node Package Manager)-pakker til at levere to forskellige malware - en sløret Python-kode, der tilhører en trussel kendt som Volt Stealer og et JavaScript-malwarenavn Lofy Stealer. Angrebskampagnen som helhed bliver sporet som LofyLife.

De fire korrupte npm-moduler spredt af hackerne hedder 'small-sm', 'pern-valids', 'lifeculer' eller 'proc-title'. Efter at være blevet henrettet, vil de slippe den tilknyttede malware på offerets system. Lofy Stealer er designet specifikt til at inficere den målrettede brugers Discord-klientfiler. Dette giver angriberne mulighed for at overvåge ofrets aktiviteter. For at være mere præcis er Lofy Stealer i stand til at detektere, når brugeren logger ind på Discord, hvis de foretager ændringer i e-mailen eller adgangskoden relateret til kontoen, og om MFA (multi-factor authentication) er aktiveret eller deaktiveret. Endnu vigtigere, Lofy Stealer kan genkende, når brugere tilføjer en ny betalingsmetode og vil indsamle alle indtastede betalingsoplysninger.

Alle indsamlede data overføres derefter til Replit-hostede servere under trusselsaktørens kontrol. Disse adresser på de tilgængelige servere er hårdkodet ind i malware-truslerne. Infosec-forskere advarer om, at nye ondsindede npm-pakker kan blive frigivet af de cyberkriminelle, der er ansvarlige for LofyLife-operationen.

Trending

Mest sete

Indlæser...