'Noblox.js' NPM Malware

Badacze cyberbezpieczeństwa wykryli w rejestrze npm nowy niebezpieczny pakiet o nazwie „noblox.js-rpc”. Zagrożenie ma na celu wdrożenie kilku złodziei informacji, które mogą uzyskać różne wrażliwe dane z zaatakowanych maszyn. Gromadzone dane mogą obejmować dane uwierzytelniające konta, pliki prywatne, a także klucz rejestracyjny systemu Windows. Ostatni etap ataku noblox.js-rpc obejmuje aktywację modułu typu ransomware.

Szczegóły techniczne

Atak rozpoczyna się skryptem poinstalacyjnym z pliku package.json zagrożenia noblox.js-rpc. Przed pobraniem reszty zagrażającego ładunku przeprowadzana jest kontrola środowiska, ponieważ zagrożenie jest wymierzone w systemy Windowswyłącznie. Jeśli sprawdzenie da wynik pozytywny, złośliwe oprogramowanie przystąpi do wykonania pliku setup.bat.

Ten skrypt wsadowy działa jako dropper odpowiedzialny za przechwytywanie pozostałych plików wykonywalnych, które są częścią ataku. Zidentyfikowano cztery dodatkowe pliki wykonywalne — „Rar.bat”, „Rar.exe”, „Rara.exe” i „Mbr.exe”. Skrypt wsadowy dodaje również ogólne wykluczenie — „C:/” do programu Windows Defender, aby zapobiec zakłócaniu przez funkcję zabezpieczeń szkodliwych działań.

Kolejna faza ataku polega na uruchomieniu dwóch wykradaczy informacji - Rar.exe i Rara.exe. Najpierw wykonywany jest niestandardowy złodziej Rar.exe w celu uzyskania plików sesji Minecraft ofiary i plików cookie Roblox. Następnie, aby upewnić się, że wszystkie poufne dane zostały zebrane, inicjowany jest plik Rara.exe, który gromadzi różne dane uwierzytelniające.

Ostatnim krokiem jest wdrożenie zagrożenia typu ransomware, wariantu MBRLocker,możliwie. Zamiast szyfrować dane ofiary, Mbr.exe nadpisuje główny rekord rozruchowy systemu. Spowoduje to uniemożliwienie ponownego uruchomienia całego systemu, blokując użytkownikom dostęp do wszystkich ich plików. Ofiarom zostanie wyświetlona wiadomość z żądaniem okupu z informacją, że będą musiały dołączyć do określonego serwera niezgodności, aby otrzymać dodatkowe instrukcje dotyczące płatności. Notatka wspomina również, że żądany okup może wynosić od 100 do 500 dolarów. Hakerzy ostrzegają również, że po 48 godzinach cały dysk twardy zostanie wykasowany, a zebrane informacje zostaną ujawnione opinii publicznej.

Ofiary Noblox.js

Oczywiste jest, że głównymi ofiarami zagrożenia są gracze Roblox. W związku z tym osoby atakujące wymyśliły innowacyjny sposób nakłonienia swoich ofiar do zainstalowania i uruchomienia pakietu zagrażającego. Hakerzy dołączają do konkretnych serwerów niezgody, które służą do udostępniania niestandardowych gier Roblox.

Hakerzy następnie udają, że oferują użytkownikom możliwość zarabiania prawdziwych pieniędzy, subskrypcji płatnych poziomów Discord lub Robux, waluty Roblox w grze. Aby zdobyć pieniądze, użytkownicy będą musieli hostować boty dostarczone przez atakujących. Oczywiście zamiast oczekiwanych zysków pieniężnych użytkownicy otrzymują zagrożenie „Noblox.js” i poniosą tragiczne konsekwencje, jeśli uruchomią uszkodzony plik.