'Noblox.js' NPM Malware

En ny truende pakke ved navn 'noblox.js-rpc' blev opdaget på npm-registret af cybersikkerhedsforskere. Truslen er designet til at implementere flere infostealere, der er i stand til at hente forskellige følsomme data fra de kompromitterede maskiner. De indsamlede data kan omfatte kontolegitimationsoplysninger, private filer samt Windows-registreringsnøglen. Den sidste fase af noblox.js-rpc-angrebet inkluderer aktivering af et modul af ransomware-typen.

Tekniske detaljer

Angrebet begynder med et post-install script fra filen package.json af noblox.js-rpc truslen. Inden resten af den truende nyttelast hentes, udføres en kontrol af miljøet, da truslen er rettet mod Windows-systemerudelukkende. Hvis kontrollen giver et positivt resultat, fortsætter malwaren med at udføre en setup.bat-fil.

Dette batch-script fungerer som en dropper, der er ansvarlig for at få fat i resten af de eksekverbare filer, der er en del af angrebet. Fire yderligere eksekverbare filer er blevet identificeret - 'Rar.bat', 'Rar.exe', 'Rara.exe' og 'Mbr.exe.' Batch-scriptet tilføjer også en generel udelukkelse - 'C:/,' til Windows Defender for at forhindre sikkerhedsfunktionen i at forstyrre dens skadelige aktiviteter.

Den næste fase af angrebet består i at køre de to infostealere - Rar.exe og Rara.exe. Først udføres den brugerdefinerede stjæler Rar.exe for at hente ofrets Minecraft-sessionsfiler og Roblox-cookies. Derefter, for at sikre, at alle følsomme data er blevet indsamlet, startes Rara.exe, og det fortsætter med at samle forskellige legitimationsoplysninger.

Det sidste trin ser udrulningen af en trussel af ransomware-typen, en variant af MBRLocker,eventuelt. I stedet for at kryptere ofrets data, overskriver Mbr.exe systemets Master Boot Record. Hvis du gør det, forhindres hele systemet i at starte op igen, hvilket blokerer brugere for at få adgang til alle deres filer. En løsesum-besked vil blive vist til ofrene, der angiver, at de bliver nødt til at tilslutte sig en specificeret discord-server for at modtage yderligere instruktioner om betalingen. Notatet nævner også, at den krævede løsesum kan variere fra $100 til $500. Hackerne advarer også om, at efter 48 timer vil hele harddisken blive slettet, mens den indsamlede information vil blive lækket til offentligheden.

Noblox.js' ofre

Det er tydeligt, at de vigtigste ofre for truslen er Roblox-spillere. Som sådan har angriberne fundet på en innovativ måde at narre deres ofre til at installere og køre den truende pakke. Hackerne tilslutter sig specifikke discord-servere dedikeret til at dele brugerdefinerede Roblox-spil.

Hackerne foregiver derefter at tilbyde brugerne en mulighed for at tjene rigtige penge, abonnementer på de betalte niveauer af Discord eller Robux, Roblox-valutaen i spillet. For at få pengene skal brugerne være vært for bots leveret af angriberne. Selvfølgelig, i stedet for de forventede pengegevinster, får brugerne truslen 'Noblox.js' og vil lide alvorlige konsekvenser, hvis de kører den korrupte fil.