'Noblox.js' NPM Malware

Un nuovo pacchetto minaccioso chiamato "noblox.js-rpc" è stato rilevato nel registro npm dai ricercatori di sicurezza informatica. La minaccia è progettata per distribuire diversi infostealer in grado di ottenere vari dati sensibili dalle macchine compromesse. I dati raccolti possono includere credenziali dell'account, file privati e la chiave di registrazione di Windows. La fase finale dell'attacco noblox.js-rpc include l'attivazione di un modulo di tipo ransomware.

Dettagli tecnici

L'attacco inizia con uno script post-installazione dal file package.json della minaccia noblox.js-rpc. Prima di recuperare il resto del carico utile minaccioso, viene eseguito un controllo dell'ambiente, poiché la minaccia è rivolta ai sistemi Windowsesclusivamente. Se il controllo restituisce un risultato positivo, il malware procede con l'esecuzione di un file setup.bat.

Questo script batch funziona come un dropper responsabile dell'acquisizione del resto degli eseguibili che fanno parte dell'attacco. Sono stati identificati altri quattro eseguibili: "Rar.bat", "Rar.exe", "Rara.exe" e "Mbr.exe". Lo script batch aggiunge anche un'esclusione generale - 'C:/,' a Windows Defender per impedire alla funzionalità di sicurezza di interferire con le sue attività dannose.

La fase successiva dell'attacco consiste nell'eseguire i due infostealer: Rar.exe e Rara.exe. Innanzitutto, viene eseguito il furto personalizzato Rar.exe per ottenere i file di sessione Minecraft della vittima e i cookie Roblox. Quindi, per assicurarsi che tutti i dati sensibili siano stati raccolti, viene avviato Rara.exe e si procede all'assemblaggio di varie credenziali.

L'ultimo passaggio prevede l'implementazione di una minaccia di tipo ransomware, una variante di MBRLocker,possibilmente. Invece di crittografare i dati della vittima, Mbr.exe sovrascrive il Master Boot Record del sistema. Ciò impedirà il riavvio dell'intero sistema, impedendo agli utenti di accedere a tutti i loro file. Un messaggio di riscatto verrà visualizzato alle vittime, indicando che dovranno unirsi a un server discord specificato per ricevere ulteriori istruzioni sul pagamento. La nota menziona anche che il riscatto richiesto potrebbe variare da $ 100 a $ 500. Gli hacker avvertono anche che dopo 48 ore, l'intero disco rigido verrà cancellato mentre le informazioni raccolte verranno divulgate al pubblico.

Le vittime di Noblox.js

È evidente che le principali vittime della minaccia sono i giocatori di Roblox. Pertanto, gli aggressori hanno escogitato un modo innovativo per indurre le vittime a installare ed eseguire il pacchetto minaccioso. Gli hacker si uniscono a server discord specifici dedicati alla condivisione di giochi Roblox personalizzati.

Gli hacker quindi fingono di offrire agli utenti l'opportunità di guadagnare denaro reale, abbonamenti ai livelli a pagamento di Discord o Robux, la valuta Roblox in-game. Per ottenere i soldi, gli utenti dovranno ospitare i bot forniti dagli aggressori. Ovviamente, invece dei guadagni monetari previsti, agli utenti viene data la minaccia "Noblox.js" e subiranno gravi conseguenze se eseguiranno il file danneggiato.