Lofy Stealer

קמפיין מאיים המכוון לנתוני Discord ואסימונים של קורבנותיו נחשף על ידי חוקרי אבטחת סייבר. מידע על הפעולה ואיומי התוכנה שבהם השתמשו התוקפים פורסם בדו"ח של מומחי תוכנות זדוניות. על פי הממצאים שלהם, שחקני האיום משתמשים בחבילות npm (Node Package Manager) להעברת שתי תוכנות זדוניות שונות - קוד Python מעורפל ששייך לאיום המכונה Volt Stealer ושם תוכנה זדונית JavaScript Lofy Stealer. מסע התקיפה בכללותו נמצא במעקב בתור LofyLife.

ארבעת מודולי ה-npm הפגומים שמפיצים ההאקרים נקראים 'small-sm', 'pern-valids', 'lifeculer' או 'proc-title'. לאחר הביצוע, הם יפילו את התוכנה הזדונית הקשורה למערכת של הקורבן. Lofy Stealer תוכנן במיוחד כדי להדביק את קבצי לקוח Discord של המשתמש הממוקד. פעולה זו מאפשרת לתוקפים לעקוב אחר פעילותו של הקורבן. ליתר דיוק, Lofy Stealer מסוגל לזהות מתי המשתמש נכנס לדיסקורד, אם הוא מבצע שינויים באימייל או בסיסמה הקשורים לחשבון, והאם MFA (אימות רב-גורמי) מופעל או מושבת. חשוב מכך, Lofy Stealer יכול לזהות מתי משתמשים מוסיפים אמצעי תשלום חדש ויאסוף את כל פרטי התשלום שהוזנו.

כל הנתונים שנאספו מועברים לאחר מכן לשרתים המתארחים מחדש בשליטת שחקן האיום. כתובות אלו של השירותים הזמינים מקודדות בקשיחה באיומי תוכנות זדוניות. חוקרי Infosec מזהירים כי חבילות npm זדוניות חדשות עשויות להשתחרר על ידי פושעי הסייבר האחראים על פעולת LofyLife.