Luna Grabber

En uidentifisert trusselaktør har rettet seg mot utviklere som er involvert i å lage skript for den umåtelig populære Roblox-spillplattformen. Denne truende enheten har klart å kompromittere over et dusin åpen kildekode-programvare som ofte brukes av slike utviklere. De tuklet npm-pakkene ble bekreftet å ha blitt implantert med en informasjonsinnhentende skadelig programvare kalt Luna Grabber.

Denne offensive kampanjen bruker strategier som skrivefeil på huk og en rekke intrikate tilsløringsteknikker. Disse brukes til å friste brukere til å laste ned forfalskede utgaver av ofte brukt programvare via npm, et kjent åpen kildekodeprogramvarebibliotek. Selv om disse pakkene i mange tilfeller fortsatt inneholder den autentiske koden som utviklere søker, inneholder de også et flerfaset skadelig programvareangrep. Dette angrepet er i stand til å slippe løs Luna Grabber på forskjellige fronter, inkludert offerets nettleser, Discord-applikasjon og andre kanaler.

Luna Grabber kan samle inn forskjellig sensitiv informasjon fra ødelagte enheter

Luna Grabber fungerer som truende programvare med det eksplisitte formål å trekke ut data fra nettlesere, Discord-applikasjonen og lokale systemkonfigurasjoner. Videre inkorporerer den typiske attributter som ofte finnes i usikre programmer, for eksempel evnen til å gjenkjenne utførelse i et virtuelt miljø og en iboende selvdestruksjonsmekanisme.

Luna Grabber har en høy grad av tilpasningsevne. Angripere har fleksibiliteten til å tilpasse oppførselen sin for å utføre forskjellige oppgaver. Gjennom skaperens verktøysett kan nettkriminelle enkelt konfigurere Luna Grabber til å starte automatisk ved oppstart av datamaskinen. Den kan da samle en rekke data, inkludert Wi-Fi-detaljer og til og med 2FA-koder (tofaktorautentisering). Dessuten kan den fordype seg i detaljer fra spill som Minecraft.

Tilstedeværelsen av Luna Grabber fører til betydelige trusler og potensiell skade. Denne ondsinnede programvaren er omhyggelig utformet for stille å høste og eksfiltrere personlige og sensitive data fra en rekke kilder. Dette omfatter informasjon som er lagret i nettlesere, som potensielt setter påloggingsinformasjon, økonomiske poster, private samtaler, personlige profiler og mer i fare. I tilfeller der offeret bruker Discord-applikasjonen, utvider Luna Grabber rekkevidden til å stjele data derfra også. Dette kan potensielt avsløre personlige diskusjoner og sensitiv informasjon.

Videre reflekterer Luna Grabbers evne til å identifisere virtuelle miljøer og dens innebygde selvdestruksjonsmekanisme et sofistikert nivå som øker motstanden mot deteksjon og fjerning. Denne sofistikeringen kan resultere i langvarig eksponering og pågående dataeksfiltrering.

Roblox har vært målet for malware-angrep før

Roblox beskrives som en nettbasert videospillplattform der brukere, i likhet med spill som Minecraft, kan bygge virtuelle verdener og nivåer som andre kan spille i. Siden COVID-19-pandemien har populariteten eksplodert, med rapporter som indikerer at spillet for tiden kan skryte av mer enn 60 millioner daglige aktive brukere og over 200 millioner månedlige aktive brukere.

Luna Grabber-kampanjen er ikke første gang utviklere av den voldsomt populære spillplattformen er målrettet av hackere. I 2021 brukte en annen uidentifisert part en lignende metode som involverer skrivefeil på huk av noblox.js som en vektor for å levere løsepengevare til ofre. Årsaken kan være at, i motsetning til mange andre populære spill, vil den gjennomsnittlige utvikleren som lager Roblox-nivåer sannsynligvis være yngre, uten tilknytning til en større bedrifts- eller forretningsenhet og mindre sofistikert når det gjelder trusler fra åpen kildekode-programvare. Angriperne håper sannsynligvis at målene deres ikke har sikkerhetsbevissthet til å faktisk undersøke tredjepartsbibliotekene de leter etter eller bruker.

For mange år siden var det lignende utbrudd av nettkriminell aktivitet rettet mot Minecraft-utviklere, men nå ser det ut til at de har byttet til Roblox som den neste store tingen.