Lofy Stealer

Μια απειλητική εκστρατεία που στοχεύει τα δεδομένα του Discord και τα διακριτικά των θυμάτων του αποκαλύφθηκε από ερευνητές στον τομέα της κυβερνοασφάλειας. Πληροφορίες σχετικά με τη λειτουργία και τις απειλές κακόβουλου λογισμικού που χρησιμοποιήθηκαν από τους εισβολείς δημοσιεύτηκαν σε μια έκθεση από ειδικούς σε κακόβουλο λογισμικό. Σύμφωνα με τα ευρήματά τους, οι φορείς απειλών χρησιμοποιούν πακέτα με όπλα npm (Node Package Manager) για να παραδώσουν δύο διαφορετικά κακόβουλα προγράμματα - έναν ασαφή κώδικα Python που ανήκει σε μια απειλή γνωστή ως Volt Stealer και ένα όνομα κακόβουλου λογισμικού JavaScript Lofy Stealer. Η εκστρατεία επίθεσης στο σύνολό της παρακολουθείται ως LofyLife.

Οι τέσσερις κατεστραμμένες μονάδες npm που διαδόθηκαν από τους χάκερ ονομάζονται «small-sm», «pern-valids», «lifeculer» ή «proc-title». Αφού εκτελεστούν, θα ρίξουν το σχετικό κακόβουλο λογισμικό στο σύστημα του θύματος. Το Lofy Stealer έχει σχεδιαστεί ειδικά για να μολύνει τα αρχεία πελάτη Discord του στοχευμένου χρήστη. Κάτι τέτοιο επιτρέπει στους επιτιθέμενους να παρακολουθούν τις δραστηριότητες του θύματος. Για να είμαστε πιο ακριβείς, το Lofy Stealer είναι σε θέση να ανιχνεύει πότε ο χρήστης συνδέεται στο Discord, εάν κάνει αλλαγές στο email ή τον κωδικό πρόσβασης που σχετίζεται με τον λογαριασμό και εάν το MFA (πολυπαραγοντικός έλεγχος ταυτότητας) είναι ενεργοποιημένο ή απενεργοποιημένο. Το πιο σημαντικό, το Lofy Stealer μπορεί να αναγνωρίσει πότε οι χρήστες προσθέτουν έναν νέο τρόπο πληρωμής και θα συλλέξει όλα τα στοιχεία πληρωμής που έχουν εισαχθεί.

Όλα τα δεδομένα που συλλέγονται μεταδίδονται στη συνέχεια σε διακομιστές που φιλοξενούνται από το Replit υπό τον έλεγχο του παράγοντα απειλής. Αυτές οι διευθύνσεις των διαθέσιμων σερβίς είναι κωδικοποιημένες στις απειλές κακόβουλου λογισμικού. Οι ερευνητές της Infosec προειδοποιούν ότι νέα κακόβουλα πακέτα npm ενδέχεται να απελευθερωθούν από τους κυβερνοεγκληματίες που είναι υπεύθυνοι για τη λειτουργία LofyLife.