Luna Grabber

Een onbekende dreigingsactor heeft zich gericht op ontwikkelaars die betrokken zijn bij het maken van scripts voor het immens populaire Roblox-gamingplatform. Deze bedreigende entiteit is erin geslaagd meer dan een dozijn open-sourcesoftwarepakketten die vaak door dergelijke ontwikkelaars worden gebruikt, in gevaar te brengen. Er werd bevestigd dat de gemanipuleerde npm-pakketten waren geïmplanteerd met een informatieverzamelende malware genaamd Luna Grabber.

Deze offensieve campagne maakt gebruik van strategieën zoals typefoutkraken en een reeks ingewikkelde verduisteringstechnieken. Deze worden gebruikt om gebruikers te verleiden valse edities van veelgebruikte software te downloaden via npm, een gerenommeerde open-source softwarebibliotheek. Hoewel deze pakketten in veel gevallen nog steeds de authentieke code bevatten waar ontwikkelaars naar op zoek zijn, herbergen ze ook een meerfasige malware-aanval. Deze aanval kan de Luna Grabber op verschillende fronten ontketenen, waaronder de webbrowser van het slachtoffer, de Discord-applicatie en andere kanalen.

De Luna Grabber kan verschillende gevoelige informatie verzamelen van gehackte apparaten

De Luna Grabber werkt als bedreigende software met het expliciete doel gegevens uit webbrowsers, de Discord-applicatie en lokale systeemconfiguraties te extraheren. Bovendien bevat het typische kenmerken die vaak voorkomen in onveilige programma's, zoals het vermogen om de uitvoering ervan in een virtuele omgeving te herkennen en een inherent zelfvernietigingsmechanisme.

De Luna Grabber beschikt over een hoge mate van aanpassingsvermogen. Aanvallers hebben de flexibiliteit om hun gedrag aan te passen om diverse taken uit te voeren. Via de toolkit van de maker kunnen cybercriminelen de Luna Grabber moeiteloos configureren om automatisch te starten bij het opstarten van de computer. Vervolgens kan het een reeks gegevens verzamelen, waaronder Wi-Fi-gegevens en zelfs Two-Factor Authentication (2FA)-codes. Bovendien kan het zich verdiepen in de details van games als Minecraft.

De aanwezigheid van de Luna Grabber brengt aanzienlijke bedreigingen en potentiële schade met zich mee. Deze kwaadaardige software is zorgvuldig ontworpen om in stilte persoonlijke en gevoelige gegevens uit verschillende bronnen te verzamelen en te exfiltreren. Dit omvat informatie die is opgeslagen in webbrowsers, waardoor inloggegevens, financiële gegevens, privégesprekken, persoonlijke profielen en meer in gevaar kunnen komen. In gevallen waarin het slachtoffer de Discord-applicatie gebruikt, breidt Luna Grabber zijn bereik uit om ook daar gegevens te stelen. Hierdoor kunnen mogelijk persoonlijke discussies en gevoelige informatie aan het licht komen.

Bovendien weerspiegelt het vermogen van de Luna Grabber om virtuele omgevingen te identificeren en het ingebouwde zelfvernietigingsmechanisme een niveau van verfijning dat de weerstand tegen detectie en verwijdering vergroot. Deze verfijning kan leiden tot langdurige blootstelling en voortdurende data-exfiltratie.

Roblox is eerder het doelwit geweest van malware-aanvallen

Roblox wordt beschreven als een online videogameplatform waar gebruikers, vergelijkbaar met games als Minecraft, virtuele werelden en niveaus kunnen bouwen waar anderen in kunnen spelen. Sinds de COVID-19-pandemie is de populariteit ervan geëxplodeerd, met berichten waaruit blijkt dat de game momenteel beschikt over ongeveer 60 miljoen dagelijks actieve gebruikers en meer dan 200 miljoen maandelijks actieve gebruikers.

De Luna Grabber-campagne is niet de eerste keer dat ontwikkelaars van het razend populaire gamingplatform het doelwit zijn van hackers. In 2021 gebruikte een andere niet-geïdentificeerde partij een soortgelijke methode, waarbij noblox.js typfouten maakte als een vector om ransomware aan de slachtoffers te bezorgen. De reden zou kunnen zijn dat, in tegenstelling tot veel andere populaire games, de gemiddelde ontwikkelaar die Roblox-niveaus maakt waarschijnlijk jonger is, niet gebonden aan een groter bedrijf of zakelijke entiteit, en minder geavanceerd op het gebied van bedreigingen van open-sourcesoftware. De aanvallers hopen waarschijnlijk dat hun doelwitten niet over het beveiligingsbewustzijn beschikken om daadwerkelijk de bibliotheken van derden te doorzoeken die ze zoeken of gebruiken.

Jaren geleden waren er soortgelijke uitbarstingen van cybercriminele activiteiten die zich richtten op Minecraft-ontwikkelaars, maar nu lijken ze te zijn overgestapt op Roblox als het volgende grote ding.