'Noblox.js' NPM-malware

En ny trusselpakke kalt 'noblox.js-rpc' ble oppdaget i npm-registeret av cybersikkerhetsforskere. Trusselen er utformet for å distribuere flere infostelere som er i stand til å hente ulike sensitive data fra de kompromitterte maskinene. De innsamlede dataene kan inkludere kontolegitimasjon, private filer, samt Windows-registreringsnøkkelen. Den siste fasen av noblox.js-rpc-angrepet inkluderer aktivering av en løsepengevare-modul.

Tekniske detaljer

Angrepet begynner med et etterinstallasjonsskript fra package.json-filen til noblox.js-rpc-trusselen. Før du henter resten av den truende nyttelasten, utføres en sjekk av miljøet, da trusselen er rettet mot Windows-systemerutelukkende. Hvis sjekken gir et positivt resultat, fortsetter skadelig programvare med å kjøre en setup.bat-fil.

Dette batchskriptet fungerer som en dropper som er ansvarlig for å ta tak i resten av de kjørbare filene som er en del av angrepet. Fire ekstra kjørbare filer er identifisert - 'Rar.bat', 'Rar.exe', 'Rara.exe' og 'Mbr.exe.' Batch-skriptet legger også til en generell ekskludering - 'C:/,' til Windows Defender for å stoppe sikkerhetsfunksjonen fra å forstyrre dens skadelige aktiviteter.

Den neste fasen av angrepet består av å kjøre de to infostealerne - Rar.exe og Rara.exe. Først kjøres den tilpassede stjeleren Rar.exe for å hente offerets Minecraft-øktfiler og Roblox-informasjonskapsler. Deretter, for å være sikker på at alle sensitive data har blitt høstet, startes Rara.exe og det fortsetter med å samle ulike legitimasjonsopplysninger.

Det siste trinnet ser utplasseringen av en trussel av løsepengevaretypen, en variant av MBRLocker,muligens. I stedet for å kryptere offerets data, overskriver Mbr.exe systemets Master Boot Record. Å gjøre det vil forhindre at hele systemet starter opp igjen, og blokkerer brukere fra å få tilgang til alle filene deres. En løsepengemelding vil bli vist til ofrene, som sier at de må bli med på en spesifisert discord-server for å motta ytterligere instruksjoner om betalingen. Notatet nevner også at den krevde løsepengen kan variere fra $100 til $500. Hackerne advarer også om at etter 48 timer vil hele harddisken bli slettet mens den innsamlede informasjonen vil bli lekket til offentligheten.

Noblox.js sine ofre

Det er tydelig at hovedofrene for trusselen er Roblox-spillere. Som sådan har angriperne kommet opp med en innovativ måte å lure ofrene sine til å installere og kjøre den truende pakken. Hackerne slutter seg til spesifikke discord-servere dedikert til å dele tilpassede Roblox-spill.

Hackerne later som de tilbyr brukere en mulighet til å tjene ekte penger, abonnement på de betalte nivåene til Discord, eller Robux, Roblox-valutaen i spillet. For å få pengene må brukerne være vert for bots levert av angriperne. Selvfølgelig, i stedet for de forventede pengegevinstene, får brukerne trusselen 'Noblox.js' og vil lide alvorlige konsekvenser hvis de kjører den ødelagte filen.