Lofy Stealer

O campanie amenințătoare care vizează datele Discord și simbolurile victimelor sale a fost descoperită de cercetătorii în securitate cibernetică. Informații despre operațiune și amenințările malware utilizate de atacatori au fost publicate într-un raport al experților în malware. Conform constatărilor lor, actorii amenințărilor folosesc pachete npm (Node Package Manager) pentru a furniza două programe malware diferite - un cod Python ofuscat care aparține unei amenințări cunoscute sub numele de Volt Stealer și un malware JavaScript numit Lofy Stealer. Campania de atac în ansamblu este urmărită ca LofyLife.

Cele patru module npm corupte răspândite de hackeri sunt denumite „small-sm”, „pern-valids”, „lifeculer” sau „proc-title”. După ce au fost executați, vor arunca malware-ul asociat pe sistemul victimei. Lofy Stealer este conceput special pentru a infecta fișierele client Discord ale utilizatorului vizat. Acest lucru permite atacatorilor să monitorizeze activitățile victimei. Pentru a fi mai precis, Lofy Stealer este capabil să detecteze când utilizatorul se conectează la Discord, dacă efectuează modificări ale e-mailului sau parolei legate de cont și dacă MFA (autentificare multifactor) este activată sau dezactivată. Mai important, Lofy Stealer poate recunoaște când utilizatorii adaugă o nouă metodă de plată și va colecta toate detaliile de plată introduse.

Toate datele culese sunt apoi transmise către serverele găzduite de Replit sub controlul actorului amenințării. Aceste adrese ale serviciilor disponibile sunt codificate hard în amenințările malware. Cercetătorii Infosec avertizează că noi pachete npm rău intenționate ar putea fi lansate de infractorii cibernetici responsabili de operațiunea LofyLife.