Luna Grabber

Un attore di minacce non identificato ha preso di mira gli sviluppatori coinvolti nella creazione di script per la popolarissima piattaforma di gioco Roblox. Questa entità minacciosa è riuscita a compromettere oltre una dozzina di pacchetti software open source utilizzati frequentemente da tali sviluppatori. È stato confermato che i pacchetti npm manomessi erano stati impiantati con un malware per la raccolta di informazioni denominato Luna Grabber.

Questa campagna offensiva impiega strategie come l'occupazione degli errori di battitura e una serie di intricate tecniche di offuscamento. Questi vengono utilizzati per indurre gli utenti a scaricare edizioni contraffatte di software di uso comune tramite npm, una rinomata libreria di software open source. Sebbene in numerosi casi questi pacchetti contengano ancora il codice autentico ricercato dagli sviluppatori, ospitano anche un attacco malware in più fasi. Questo assalto è in grado di scatenare il Luna Grabber su vari fronti, tra cui il browser web della vittima, l'applicazione Discord e altri canali.

Il Luna Grabber può raccogliere varie informazioni sensibili dai dispositivi violati

Luna Grabber funziona come un software minaccioso con lo scopo esplicito di estrarre dati dai browser Web, dall'applicazione Discord e dalle configurazioni del sistema locale. Inoltre, incorpora attributi tipici comunemente presenti nei programmi non sicuri, come la capacità di riconoscerne l'esecuzione all'interno di un ambiente virtuale e un meccanismo intrinseco di autodistruzione.

Il Luna Grabber vanta un alto grado di adattabilità. Gli aggressori hanno la flessibilità di personalizzare il proprio comportamento per svolgere diversi compiti. Attraverso il toolkit del creatore, i criminali informatici possono configurare facilmente il Luna Grabber in modo che si avvii automaticamente all'avvio del computer. Può quindi accumulare una serie di dati, inclusi dettagli Wi-Fi e persino codici di autenticazione a due fattori (2FA). Inoltre, può approfondire le specifiche di giochi come Minecraft.

La presenza del Luna Grabber comporta minacce sostanziali e potenziali danni. Questo software malevolo è stato meticolosamente realizzato per raccogliere ed esfiltrare silenziosamente dati personali e sensibili da una varietà di fonti. Ciò comprende informazioni archiviate nei browser Web, che potenzialmente mettono a rischio credenziali di accesso, documenti finanziari, conversazioni private, profili personali e altro ancora. Nei casi in cui la vittima utilizza l'applicazione Discord, Luna Grabber estende la sua portata per rubare dati anche da lì. Ciò potrebbe potenzialmente esporre discussioni personali e informazioni sensibili.

Inoltre, la capacità del Luna Grabber di identificare ambienti virtuali e il suo meccanismo di autodistruzione integrato riflette un livello di sofisticazione che ne aumenta la resistenza al rilevamento e alla rimozione. Questa sofisticazione potrebbe comportare un’esposizione prolungata e una continua esfiltrazione di dati.

Roblox è già stato bersaglio di attacchi malware in passato

Roblox è descritto come una piattaforma di videogiochi online in cui, in modo simile a giochi come Minecraft, gli utenti possono costruire mondi virtuali e livelli in cui gli altri possono giocare. Dopo la pandemia di COVID-19, la sua popolarità è esplosa, con rapporti che indicano che il gioco attualmente vanta alcuni più di 60 milioni di utenti attivi giornalieri e oltre 200 milioni di utenti attivi mensili.

La campagna Luna Grabber non è la prima volta che gli sviluppatori della popolarissima piattaforma di gioco vengono presi di mira dagli hacker. Nel 2021, un'altra parte non identificata ha utilizzato un metodo simile che prevedeva l'occupazione di errori di battitura nel file noblox.js come vettore per fornire ransomware alle vittime. Il motivo potrebbe essere che, a differenza di molti altri giochi popolari, lo sviluppatore medio che realizza livelli Roblox è probabilmente più giovane, non legato a un'entità aziendale o commerciale più grande e meno sofisticato riguardo alle minacce provenienti dal software open source. Gli aggressori probabilmente sperano che i loro obiettivi non abbiano la consapevolezza della sicurezza necessaria per controllare effettivamente le librerie di terze parti che stanno cercando o utilizzando.

Anni fa, ci furono esplosioni simili di attività criminali informatiche contro gli sviluppatori di Minecraft, ma ora sembra che siano passati a Roblox come la prossima grande novità.