'Noblox.js' NPM Malware

Um novo pacote ameaçador chamado 'noblox.js-rpc' foi detectado no Registro npm pelos pesquisadores de segurança cibernética. A ameaça foi projetada para implantar vários infostealers capazes de obter vários dados confidenciais das máquinas comprometidas. Os dados coletados podem incluir credenciais de conta, arquivos privados, bem como a chave de registro do Windows. O estágio final do ataque noblox.js-rpc inclui a ativação de um módulo do tipo ransomware.

Detalhes Técnicos

O ataque começa com um script de pós-instalação do arquivo package.json da ameaça noblox.js-rpc. Antes de buscar o restante da carga ameaçadora, uma verificação do ambiente é realizada, pois a ameaça é direcionada aos sistemas Windowsunicamente. Se a verificação retornar um resultado positivo, o malware continuará executando um arquivo setup.bat.

Este script em lote opera como um dropper responsável por pegar o resto dos executáveis que fazem parte do ataque. Quatro executáveis adicionais foram identificados - 'Rar.bat,' 'Rar.exe,' 'Rara.exe' e 'Mbr.exe.' O script de lote também adiciona uma exclusão geral - 'C: /,' ao Windows Defender para impedir que o recurso de segurança interfira em suas atividades prejudiciaiso

A próxima fase do ataque consiste em executar os dois infostealers - Rar.exe e Rara.exe. Primeiro, o stealer personalizado Rar.exe é executado para obter os arquivos de sessão do Minecraft da vítima e os cookies Roblox. Em seguida, para certificar-se de que todos os dados confidenciais foram coletados, o Rara.exe é iniciado e começa a reunir várias credenciais.

A última etapa vê a implantação de uma ameaça do tipo ransomware, uma variante do MBRLocker,possivelmente. Em vez de criptografar os dados da vítima, o Mbr.exe sobrescreve o Master Boot Record do sistema. Isso impedirá que todo o sistema inicialize novamente, bloqueando o acesso dos usuários a todos os seus arquivos. Uma mensagem de resgate será exibida para as vítimas, informando que elas precisarão ingressar em um servidor de Discord especificado para receber instruções adicionais sobre o pagamento. A nota também menciona que o resgate exigido pode variar de US $100 a US $500. Os hackers também alertam que após 48 horas, todo o disco rígido será apagado e as informações coletadas vazarão para o público.

Vítimas do Noblox.js

É evidente que as principais vítimas da ameaça são os jogadores do Roblox. Dessa forma, os invasores criaram uma maneira inovadora de enganar suas vítimas para que instalassem e executassem o pacote ameaçador. Os hackers se juntam a servidores do Discord específicos dedicados ao compartilhamento de jogos Roblox personalizados.

Os hackers fingem estar oferecendo aos usuários uma oportunidade de ganhar dinheiro real, assinaturas de níveis pagos do Discord, ou Robux, a moeda Roblox do jogo. Para conseguir o dinheiro, os usuários precisarão hospedar bots fornecidos pelos invasores. Claro que em vez dos ganhos monetários esperados, os usuários recebem a ameaça 'Noblox.js' e sofrerão consequências terríveis se executarem o arquivo corrompido.