Lofy Stealer

Kiberdrošības pētnieki ir atklājuši draudīgu kampaņu, kas vērsta uz Discord datiem un tās upuru žetoniem. Informācija par operāciju un uzbrucēju izmantotajiem ļaundabīgo programmu draudiem publicēta ļaunprogrammatūras ekspertu ziņojumā. Saskaņā ar saviem atklājumiem draudu dalībnieki izmanto ieroču npm (Node Package Manager) pakotnes, lai piegādātu divas dažādas ļaunprogrammatūras - aptumšotu Python kodu, kas pieder apdraudējumam, kas pazīstams kā Volt Stealer, un JavaScript ļaunprātīgas programmatūras nosaukumu Lofy Stealer. Uzbrukuma kampaņa kopumā tiek izsekota kā LofyLife.

Četri bojāti npm moduļi, ko izplatījuši hakeri, ir nosaukti par “small-sm”, “pern-valids”, “lifeculer” vai “proc-title”. Pēc izpildes viņi nometīs saistīto ļaunprātīgo programmatūru upura sistēmā. Lofy Stealer ir īpaši izstrādāts, lai inficētu mērķa lietotāja Discord klienta failus. Šādi rīkojoties, uzbrucēji var uzraudzīt upura darbības. Precīzāk sakot, Lofy Stealer spēj noteikt, kad lietotājs piesakās Discord, vai viņš veic izmaiņas e-pastā vai parolē saistībā ar kontu un vai ir iespējota vai atspējota MFA (daudzfaktoru autentifikācija). Vēl svarīgāk ir tas, ka Lofy Stealer var atpazīt, kad lietotāji pievieno jaunu maksājuma veidu, un apkopos visu ievadīto maksājuma informāciju.

Pēc tam visi savāktie dati tiek pārsūtīti uz Replit viesotiem serveriem, ko kontrolē apdraudējums. Šīs pieejamo pakalpojumu adreses ir iekodētas ļaunprātīgas programmatūras draudos. Infosec pētnieki brīdina, ka par LofyLife darbību atbildīgie kibernoziedznieki var izlaist jaunas ļaunprātīgas npm pakotnes.