Threat Database Stealers Lofy Stealer

Lofy Stealer

En truende kampanje rettet mot Discord-dataene og tokens til ofrene har blitt avdekket av cybersikkerhetsforskere. Informasjon om operasjonen og truslene om skadelig programvare brukt av angriperne ble publisert i en rapport fra skadevareeksperter. I følge funnene deres bruker trusselaktørene våpenbaserte npm (Node Package Manager)-pakker for å levere to forskjellige skadevare - en skjult Python-kode som tilhører en trussel kjent som Volt Stealer og et JavaScript-malwarenavn Lofy Stealer. Angrepskampanjen som helhet spores som LofyLife.

De fire ødelagte npm-modulene spredt av hackerne heter 'small-sm', 'pern-valids', 'lifeculer' eller 'proc-title'. Etter å ha blitt henrettet, vil de slippe den tilknyttede skadelige programvaren på offerets system. Lofy Stealer er designet spesielt for å infisere den målrettede brukerens Discord-klientfiler. Ved å gjøre det kan angriperne overvåke offerets aktiviteter. For å være mer presis er Lofy Stealer i stand til å oppdage når brukeren logger på Discord, om de gjør endringer i e-posten eller passordet knyttet til kontoen, og om MFA (multifaktorautentisering) er aktivert eller deaktivert. Enda viktigere, Lofy Stealer kan gjenkjenne når brukere legger til en ny betalingsmåte og samler inn alle angitte betalingsdetaljer.

Alle innhentede data blir deretter overført til Replit-vertsservere under trusselaktørens kontroll. Disse adressene til de tilgjengelige tjenestene er hardkodet inn i skadevaretruslene. Infosec-forskere advarer om at nye ondsinnede npm-pakker kan bli utgitt av nettkriminelle som er ansvarlige for LofyLife-operasjonen.

Trender

Mest sett

Laster inn...