Lofy Stealer

Kibernetinio saugumo tyrinėtojai atskleidė grėsmingą kampaniją, nukreiptą į „Discord“ duomenis ir jos aukų žetonus. Informacija apie operaciją ir užpuolikų naudojamas kenkėjiškų programų grėsmes buvo paskelbta kenkėjiškų programų ekspertų ataskaitoje. Remiantis jų išvadomis, grėsmės veikėjai naudoja ginkluotus npm (Node Package Manager) paketus, kad pristatytų dvi skirtingas kenkėjiškas programas – užmaskuotą Python kodą, priklausantį grėsmei, žinomai kaip Volt Stealer, ir JavaScript kenkėjiškos programos pavadinimą Lofy Stealer. Visa puolimo kampanija stebima kaip „LofyLife“.

Keturi sugadinti npm moduliai, kuriuos platina įsilaužėliai, yra pavadinti „small-sm“, „pern-valids“, „lifeculer“ arba „proc-title“. Po vykdymo jie pašalins susijusią kenkėjišką programą aukos sistemoje. „Lofy Stealer“ sukurtas specialiai tam, kad užkrėstų tikslinio vartotojo „Discord“ kliento failus. Tai leidžia užpuolikams stebėti aukos veiklą. Tiksliau tariant, „Lofy Stealer“ gali aptikti, kada vartotojas prisijungia prie „Discord“, ar atlieka kokių nors su paskyra susijusių el. pašto ar slaptažodžio pakeitimų ir ar įjungta ar išjungta MFA (daugiafaktoris autentifikavimas). Dar svarbiau, kad „Lofy Stealer“ gali atpažinti, kai vartotojai prideda naują mokėjimo būdą, ir surinks visą įvestą mokėjimo informaciją.

Tada visi surinkti duomenys perduodami į „Replit“ priglobtus serverius, kuriuos kontroliuoja grėsmės veikėjas. Šie galimų tarnybų adresai yra užkoduoti kenkėjiškų programų grėsmėms. „Infosec“ tyrėjai perspėja, kad už „LofyLife“ operaciją atsakingi kibernetiniai nusikaltėliai gali išleisti naujus kenkėjiškus npm paketus.