Lofy Stealer

Badacze cyberbezpieczeństwa odkryli groźną kampanię wymierzoną w dane Discorda i tokeny jego ofiar. Informacje o operacji i zagrożeniach złośliwym oprogramowaniem wykorzystywanym przez atakujących zostały opublikowane w raporcie ekspertów od złośliwego oprogramowania. Zgodnie z ich ustaleniami, cyberprzestępcy wykorzystują uzbrojone pakiety npm (Node Package Manager) do dostarczania dwóch różnych złośliwych programów – zaciemnionego kodu Pythona, który należy do zagrożenia znanego jako Volt Stealer oraz złośliwego oprogramowania JavaScript o nazwie Lofy Stealer. Całość kampanii ataku jest śledzona jako LofyLife.

Cztery uszkodzone moduły npm rozpowszechniane przez hakerów noszą nazwy „small-sm”, „pern-valids”, „lifeculer” lub „proc-title”. Po wykonaniu upuszczają powiązane złośliwe oprogramowanie w systemie ofiary. Lofy Stealer został zaprojektowany specjalnie do infekowania plików klienta Discord docelowego użytkownika. Dzięki temu atakujący mogą monitorować działania ofiary. Mówiąc dokładniej, Lofy Stealer jest w stanie wykryć, kiedy użytkownik loguje się do Discord, czy wprowadza jakiekolwiek zmiany w e-mailu lub haśle związanym z kontem oraz czy MFA (uwierzytelnianie wieloskładnikowe) jest włączone, czy wyłączone. Co ważniejsze, Lofy Stealer potrafi rozpoznać, kiedy użytkownicy dodają nową metodę płatności i zbierze wszystkie wprowadzone szczegóły płatności.

Wszystkie zebrane dane są następnie przesyłane do serwerów hostowanych przez Replit pod kontrolą aktora zagrożenia. Te adresy dostępnych serwerów są na stałe zakodowane w zagrożeniach złośliwym oprogramowaniem. Badacze Infosec ostrzegają, że cyberprzestępcy odpowiedzialni za operację LofyLife mogą wydać nowe złośliwe pakiety npm.