'Noblox.js' NPM-malware

Een nieuw bedreigend pakket met de naam 'noblox.js-rpc' werd gedetecteerd in het npm-register door cyberbeveiligingsonderzoekers. De dreiging is ontworpen om verschillende infostealers in te zetten die in staat zijn om verschillende gevoelige gegevens van de gecompromitteerde machines te verkrijgen. De verzamelde gegevens kunnen accountgegevens, privébestanden en de Windows-registratiesleutel bevatten. De laatste fase van de noblox.js-rpc-aanval omvat het activeren van een ransomware-type module.

Technische details

De aanval begint met een post-installatiescript uit het package.json-bestand van de noblox.js-rpc-dreiging. Voordat de rest van de bedreigende payload wordt opgehaald, wordt de omgeving gecontroleerd, aangezien de dreiging gericht is op Windows-systemenuitsluitend. Als de controle een positief resultaat oplevert, gaat de malware verder met het uitvoeren van een setup.bat-bestand.

Dit batchscript werkt als een druppelaar die verantwoordelijk is voor het grijpen van de rest van de uitvoerbare bestanden die deel uitmaken van de aanval. Er zijn vier extra uitvoerbare bestanden geïdentificeerd: 'Rar.bat', 'Rar.exe', 'Rara.exe' en 'Mbr.exe'. Het batchscript voegt ook een algemene uitsluiting - 'C:/' toe aan Windows Defender om te voorkomen dat de beveiligingsfunctie de schadelijke activiteiten verstoort.

De volgende fase van de aanval bestaat uit het uitvoeren van de twee infostealers - Rar.exe en Rara.exe. Eerst wordt de aangepaste stealer Rar.exe uitgevoerd om de Minecraft-sessiebestanden en Roblox-cookies van het slachtoffer te verkrijgen. Om er zeker van te zijn dat alle gevoelige gegevens zijn verzameld, wordt Rara.exe gestart en gaat het verder met het verzamelen van verschillende inloggegevens.

De laatste stap is de inzet van een dreiging van het ransomware-type, een variant van MBRLocker,mogelijk. In plaats van de gegevens van het slachtoffer te versleutelen, overschrijft Mbr.exe het Master Boot Record van het systeem. Als u dit doet, wordt voorkomen dat het hele systeem opnieuw opstart, waardoor gebruikers geen toegang hebben tot al hun bestanden. Er zal een losgeldbericht worden weergegeven aan de slachtoffers, waarin staat dat ze zich moeten aansluiten bij een gespecificeerde discord-server om aanvullende instructies over de betaling te ontvangen. De notitie vermeldt ook dat het gevraagde losgeld kan variëren van $ 100 tot $ 500. De hackers waarschuwen ook dat na 48 uur de hele harde schijf zal worden gewist terwijl de verzamelde informatie naar het publiek zal worden gelekt.

Slachtoffers van Noblox.js

Het is duidelijk dat de belangrijkste slachtoffers van de dreiging Roblox-spelers zijn. Als zodanig hebben de aanvallers een innovatieve manier bedacht om hun slachtoffers te misleiden om het bedreigende pakket te installeren en uit te voeren. De hackers sluiten zich aan bij specifieke discord-servers die speciaal zijn bedoeld voor het delen van aangepaste Roblox-games.

De hackers doen vervolgens alsof ze gebruikers de mogelijkheid bieden om echt geld te verdienen, abonnementen op de betaalde niveaus van Discord, of Robux, de in-game Roblox-valuta. Om het geld te krijgen, moeten gebruikers bots hosten die door de aanvallers worden geleverd. Natuurlijk, in plaats van de verwachte geldelijke winst, krijgen de gebruikers de dreiging 'Noblox.js' en zullen ze ernstige gevolgen ondervinden als ze het beschadigde bestand uitvoeren.