Threat Database Stealers Lofy Stealer

Lofy Stealer

Istraživači kibernetičke sigurnosti otkrili su prijeteću kampanju usmjerenu na podatke Discorda i tokene svojih žrtava. Informacije o operaciji i prijetnjama zlonamjernog softvera koje napadači koriste objavljene su u izvješću stručnjaka za zlonamjerni softver. Prema njihovim otkrićima, akteri prijetnji koriste naoružane pakete npm (Node Package Manager) za isporuku dva različita zlonamjerna softvera - maskirani Python kod koji pripada prijetnji poznatoj kao Volt Stealer i JavaScript zlonamjerni softver pod nazivom Lofy Stealer. Kampanja napada u cjelini prati se kao LofyLife.

Četiri oštećena npm modula koja šire hakeri nazivaju se 'small-sm', 'pern-valids', 'lifeculer' ili 'proc-title'. Nakon izvršenja, ispustit će pridruženi malware na žrtvin sustav. Lofy Stealer dizajniran je posebno za zarazu datoteka Discord klijenta ciljanog korisnika. Na taj način napadači mogu pratiti aktivnosti žrtve. Da budemo precizniji, Lofy Stealer je sposoban detektirati kada se korisnik prijavljuje na Discord, ako mijenja e-mail ili lozinku u vezi s računom i je li MFA (multi-factor authentication) omogućen ili onemogućen. Što je još važnije, Lofy Stealer može prepoznati kada korisnici dodaju novi način plaćanja i prikupit će sve unesene podatke o plaćanju.

Svi prikupljeni podaci zatim se prenose na poslužitelje koje hostira Replit pod kontrolom aktera prijetnje. Ove adrese dostupnih servisa čvrsto su kodirane u prijetnje zlonamjernog softvera. Istraživači Infoseca upozoravaju da bi cyber kriminalci odgovorni za operaciju LofyLife mogli objaviti nove zlonamjerne npm pakete.

U trendu

Nagledanije

Učitavam...