Luna Grabber

Niezidentyfikowany ugrupowanie zagrażające atakuje programistów zajmujących się tworzeniem skryptów dla niezwykle popularnej platformy gier Roblox. Tej groźnej istocie udało się złamać kilkanaście pakietów oprogramowania typu open source, często używanych przez takich programistów. Potwierdzono, że w zmodyfikowanych pakietach npm wszczepiono szkodliwe oprogramowanie gromadzące informacje o nazwie Luna Grabber.

Ta ofensywna kampania wykorzystuje takie strategie, jak literówka i szereg skomplikowanych technik zaciemniania. Wykorzystuje się je, aby nakłonić użytkowników do pobrania fałszywych wersji powszechnie używanego oprogramowania za pośrednictwem npm, znanej biblioteki oprogramowania typu open source. Chociaż w wielu przypadkach pakiety te nadal zawierają autentyczny kod, którego szukają programiści, zawierają one również wielofazowy atak złośliwego oprogramowania. Atak ten może uwolnić Luna Grabber na różnych frontach, w tym w przeglądarce internetowej ofiary, aplikacji Discord i innych kanałach.

Luna Grabber może zbierać różne wrażliwe informacje z naruszonych urządzeń

Luna Grabber działa jako groźne oprogramowanie, którego wyraźnym celem jest wyodrębnianie danych z przeglądarek internetowych, aplikacji Discord i konfiguracji systemu lokalnego. Co więcej, zawiera typowe atrybuty powszechnie spotykane w niebezpiecznych programach, takie jak zdolność rozpoznawania ich wykonania w środowisku wirtualnym i nieodłączny mechanizm samozniszczenia.

Luna Grabber charakteryzuje się wysokim stopniem możliwości adaptacji. Atakujący mogą elastycznie dostosowywać swoje zachowanie do wykonywania różnorodnych zadań. Dzięki zestawowi narzędzi twórcy cyberprzestępcy mogą bez wysiłku skonfigurować Luna Grabber tak, aby uruchamiał się automatycznie po uruchomieniu komputera. Może następnie zgromadzić szereg danych, w tym szczegółowe dane Wi-Fi, a nawet kody uwierzytelniania dwuskładnikowego (2FA). Co więcej, może zagłębić się w szczegóły z gier takich jak Minecraft.

Obecność Luna Grabber niesie ze sobą znaczne zagrożenia i potencjalne szkody. To złowrogie oprogramowanie zostało starannie opracowane, aby po cichu zbierać i wydobywać osobiste i wrażliwe dane z różnych źródeł. Obejmuje to informacje przechowywane w przeglądarkach internetowych, które mogą potencjalnie narażać dane logowania, dokumentację finansową, prywatne rozmowy, profile osobiste i inne. W przypadkach, gdy ofiara korzysta z aplikacji Discord, Luna Grabber rozszerza swój zasięg, aby również stamtąd wykraść dane. Może to potencjalnie ujawnić osobiste dyskusje i poufne informacje.

Co więcej, zdolność Luna Grabber do identyfikowania środowisk wirtualnych i wbudowany mechanizm autodestrukcji odzwierciedla poziom wyrafinowania, który zwiększa jego odporność na wykrycie i usunięcie. Takie wyrafinowanie może skutkować długotrwałym narażeniem i ciągłą eksfiltracją danych.

Roblox był już celem ataków złośliwego oprogramowania

Roblox jest opisywany jako internetowa platforma gier wideo, na której, podobnie jak w grach takich jak Minecraft, użytkownicy mogą budować wirtualne światy i poziomy, w których inni mogą grać. Od czasu pandemii Covid-19 jej popularność gwałtownie wzrosła, a raporty wskazują, że obecnie gra może się pochwalić około 60 milionów aktywnych użytkowników dziennie i ponad 200 milionów aktywnych użytkowników miesięcznie.

Kampania Luna Grabber nie jest pierwszym atakiem hakerów na twórców niezwykle popularnej platformy do gier. W 2021 r. inna niezidentyfikowana strona zastosowała podobną metodę polegającą na literówce w pliku noblox.js jako wektorze dostarczania ofiarom oprogramowania ransomware. Powodem może być to, że w przeciwieństwie do wielu innych popularnych gier, przeciętny programista tworzący poziomy Roblox jest prawdopodobnie młodszy, niezwiązany z większym podmiotem korporacyjnym lub biznesowym i mniej wyrafinowany w zakresie zagrożeń ze strony oprogramowania typu open source. Napastnicy prawdopodobnie mają nadzieję, że ich cele nie mają wystarczającej świadomości bezpieczeństwa, aby faktycznie sprawdzić biblioteki stron trzecich, których szukają lub których używają.

Wiele lat temu miały miejsce podobne wybuchy aktywności cyberprzestępczej, których celem byli twórcy gry Minecraft, ale teraz wydaje się, że kolejnym wielkim wydarzeniem stało się dla nich Roblox.