Lofy Stealer

Küberjulgeoleku uurijad on avastanud ähvardava kampaania, mis on suunatud Discordi andmetele ja selle ohvrite märkidele. Teave operatsiooni ja ründajate kasutatud pahavaraohtude kohta avaldati pahavaraekspertide raportis. Nende leidude kohaselt kasutavad ohus osalejad relvastatud npm (Node Package Manager) pakette, et edastada kahte erinevat pahavara – ähmastatud Pythoni koodi, mis kuulub Volt Stealeri nime all tuntud ohule ja JavaScripti pahavara nime Lofy Stealer. Rünnakukampaaniat tervikuna jälgitakse kui LofyLife.

Häkkerite levitatud neli rikutud npm-moodulit kannavad nimetusi "small-sm", "pern-valids", "lifeculer" või "proc-title". Pärast hukkamist viskavad nad sellega seotud pahavara ohvri süsteemi. Lofy Stealer on loodud spetsiaalselt sihitud kasutaja Discordi kliendifailide nakatamiseks. See võimaldab ründajatel jälgida ohvri tegevust. Täpsemalt suudab Lofy Stealer tuvastada, millal kasutaja Discordi sisse logib, kas ta teeb kontoga seotud e-kirjas või paroolis mingeid muudatusi ning kas MFA (mitmefaktoriline autentimine) on lubatud või keelatud. Veelgi olulisem on see, et Lofy Stealer tunneb ära, kui kasutajad lisavad uue makseviisi, ja kogub kõik sisestatud makseandmed.

Kõik kogutud andmed edastatakse seejärel Repliti hostitud serveritesse, mis on ohus osaleja kontrolli all. Need saadaolevate teenuste aadressid on pahavaraohtudesse kõvasti kodeeritud. Infoseci teadlased hoiatavad, et LofyLife'i operatsiooni eest vastutavad küberkurjategijad võivad välja lasta uusi pahatahtlikke npm-pakette.