Lofy Stealer

Een dreigende campagne gericht op de Discord-gegevens en tokens van zijn slachtoffers is ontdekt door cybersecurity-onderzoekers. Informatie over de operatie en de malwarebedreigingen die door de aanvallers worden gebruikt, is gepubliceerd in een rapport van malware-experts. Volgens hun bevindingen gebruiken de dreigingsactoren bewapende npm-pakketten (Node Package Manager) om twee verschillende malware te leveren: een versluierde Python-code die behoort tot een dreiging die bekend staat als de Volt Stealer en een JavaScript-malware genaamd Lofy Stealer. De aanvalscampagne als geheel wordt gevolgd als LofyLife.

De vier beschadigde npm-modules die door de hackers worden verspreid, worden 'small-sm', 'pern-valids', 'lifeculer' of 'proc-title' genoemd. Nadat ze zijn uitgevoerd, laten ze de bijbehorende malware op het systeem van het slachtoffer vallen. De Lofy Stealer is speciaal ontworpen om de Discord-clientbestanden van de beoogde gebruiker te infecteren. Hierdoor kunnen de aanvallers de activiteiten van het slachtoffer volgen. Om preciezer te zijn, Lofy Stealer kan detecteren wanneer de gebruiker inlogt op Discord, of ze wijzigingen aanbrengen in het e-mailadres of wachtwoord met betrekking tot het account, en of MFA (multi-factor authenticatie) is ingeschakeld of uitgeschakeld. Wat nog belangrijker is, Lofy Stealer kan herkennen wanneer gebruikers een nieuwe betaalmethode toevoegen en alle ingevoerde betalingsgegevens verzamelen.

Alle verzamelde gegevens worden vervolgens verzonden naar door Replit gehoste servers onder controle van de dreigingsactor. Deze adressen van de beschikbare services zijn hard gecodeerd in de malwarebedreigingen. Onderzoekers van Infosec waarschuwen dat nieuwe kwaadaardige npm-pakketten kunnen worden vrijgegeven door de cybercriminelen die verantwoordelijk zijn voor de LofyLife-operatie.