Threat Database Stealers Lofy Stealer

Lofy Stealer

Uma campanha ameaçadora visando os dados e tokens do Discord de suas vítimas foi descoberta pelos pesquisadores de segurança cibernética. As informações sobre a operação e as ameaças de malware usadas pelos invasores foram publicadas em um relatório de especialistas em malware. De acordo com suas descobertas, os agentes de ameaças estão usando pacotes npm (Node Package Manager) armados para entregar dois malwares diferentes – um código Python ofuscado que pertence a uma ameaça conhecida como Volt Stealer e um malware JavaScript chamado Lofy Stealer. A campanha de ataque como um todo está sendo rastreada como LofyLife.

Os quatro módulos npm corrompidos espalhados pelos hackers são chamados de 'small-sm', 'pern-valids', 'lifeculer' ou 'proc-title'. Após serem executados, eles descartarão o malware associado no sistema da vítima. O Lofy Stealer foi projetado especificamente para infectar os arquivos do cliente Discord do usuário alvo. Isso permite que os invasores monitorem as atividades da vítima. Para ser mais preciso, o Lofy Stealer é capaz de detectar quando o usuário faz login no Discord, se ele faz alguma alteração no email ou senha relacionada à conta e se a MFA (autenticação multifatorada) está habilitada ou desabilitada. Mais importante, o Lofy Stealer pode reconhecer quando os usuários adicionam um novo método de pagamento e coleta todos os detalhes de pagamento inseridos.

Todos os dados coletados são então transmitidos para servidores hospedados pela Replit sob o controle do agente da ameaça. Esses endereços dos servidores disponíveis são codificados nas ameaças de malware. Pesquisadores de Infosec alertam que novos pacotes npm maliciosos podem ser lançados pelos cibercriminosos responsáveis pela operação LofyLife.

Tendendo

Mais visto

Carregando...