Luna Grabber

En uidentificeret trusselsaktør har rettet sig mod udviklere, der er involveret i at lave scripts til den uhyre populære Roblox-spilplatform. Denne truende enhed har formået at kompromittere over et dusin open source-softwarepakker, der ofte bruges af sådanne udviklere. Det blev bekræftet, at de manipulerede npm-pakker var implanteret med en informationsindsamlende malware ved navn Luna Grabber.

Denne offensive kampagne anvender strategier såsom slåfejl og en række indviklede sløringsteknikker. Disse bruges til at friste brugere til at downloade forfalskede udgaver af almindeligt brugt software via npm, et berømt open source-softwarebibliotek. Selvom disse pakker i adskillige tilfælde stadig indeholder den autentiske kode, som udviklere søger, rummer de også et flerfaset malwareangreb. Dette overfald er i stand til at frigøre Luna Grabber på forskellige fronter, inklusive ofrets webbrowser, Discord-applikation og andre kanaler.

Luna Grabber kan indsamle forskellige følsomme oplysninger fra brudte enheder

Luna Grabber fungerer som truende software med det eksplicitte formål at udtrække data fra webbrowsere, Discord-applikationen og lokale systemkonfigurationer. Desuden inkorporerer den typiske attributter, der almindeligvis findes i usikre programmer, såsom evnen til at genkende dens udførelse i et virtuelt miljø og en iboende selvdestruktionsmekanisme.

Luna Grabber kan prale af en høj grad af tilpasningsevne. Angribere har fleksibiliteten til at tilpasse deres adfærd til at udføre forskellige opgaver. Gennem skaberens værktøjssæt kan cyberkriminelle ubesværet konfigurere Luna Grabber til at starte automatisk ved computerstart. Det kan derefter samle en række data, herunder Wi-Fi-oplysninger og endda 2FA-koder (tofaktorgodkendelse). Desuden kan det dykke ned i detaljer fra spil som Minecraft.

Tilstedeværelsen af Luna Grabber medfører væsentlige trusler og potentiel skade. Denne ondsindede software er omhyggeligt udformet til lydløst at høste og eksfiltrere personlige og følsomme data fra en række forskellige kilder. Dette omfatter oplysninger, der er gemt i webbrowsere, og som potentielt placerer loginoplysninger, økonomiske optegnelser, private samtaler, personlige profiler og mere i fare. I tilfælde, hvor offeret bruger Discord-applikationen, udvider Luna Grabber sin rækkevidde til også at stjæle data derfra. Dette kan potentielt afsløre personlige diskussioner og følsomme oplysninger.

Ydermere afspejler Luna Grabbers evne til at identificere virtuelle miljøer og dens indbyggede selvdestruktionsmekanisme et sofistikeret niveau, der øger dens modstand mod detektion og fjernelse. Denne sofistikering kan resultere i langvarig eksponering og løbende dataeksfiltrering.

Roblox har tidligere været målet for malwareangreb

Roblox beskrives som en online videospilsplatform, hvor brugere, i lighed med spil som Minecraft, kan bygge virtuelle verdener og niveauer, som andre kan spille i. Siden COVID-19-pandemien er dets popularitet eksploderet, med rapporter, der indikerer, at spillet i øjeblikket kan prale af mere end 60 millioner daglige aktive brugere og op mod 200 millioner månedlige aktive brugere.

Luna Grabber-kampagnen er ikke første gang, at udviklere af den vildt populære spilplatform er blevet ramt af hackere. I 2021 brugte en anden uidentificeret part en lignende metode, der involverede typo-squatting af noblox.js som en vektor til at levere ransomware til ofre. Årsagen kan være, at i modsætning til mange andre populære spil, vil den gennemsnitlige udvikler, der laver Roblox-niveauer, sandsynligvis være yngre, uafhængig af en større virksomheds- eller forretningsenhed og mindre sofistikeret med hensyn til trusler fra open source-software. Angriberne håber sandsynligvis, at deres mål ikke har sikkerhedsbevidstheden til rent faktisk at undersøge de tredjepartsbiblioteker, de leder efter eller bruger.

For år siden var der lignende udbrud af cyberkriminel aktivitet rettet mod Minecraft-udviklere, men nu ser de ud til at have skiftet til Roblox som den næste store ting.