Lofy Stealer

Výskumníci v oblasti kybernetickej bezpečnosti odhalili hrozivú kampaň zameranú na údaje Discordu a tokeny jeho obetí. Informácie o operácii a malvérových hrozbách, ktoré útočníci použili, boli zverejnené v správe expertov na malvér. Podľa ich zistení aktéri hrozieb používajú ozbrojené balíčky npm (Node Package Manager) na doručenie dvoch rôznych malvérov – zahmleného kódu Pythonu, ktorý patrí k hrozbe známej ako Volt Stealer, a malvéru JavaScript s názvom Lofy Stealer. Útočná kampaň ako celok je sledovaná ako LofyLife.

Štyri poškodené moduly npm šírené hackermi sú pomenované „small-sm“, „pern-valids“, „lifeculer“ alebo „proc-title“. Po vykonaní vypustia súvisiaci malvér do systému obete. Lofy Stealer je navrhnutý špeciálne na infikovanie súborov klienta Discord cieľového používateľa. Útočníci tak môžu monitorovať aktivity obete. Presnejšie povedané, Lofy Stealer je schopný zistiť, kedy sa používateľ prihlási do Discordu, či vykoná nejaké zmeny v e-maile alebo hesle súvisiace s účtom a či je povolená alebo zakázaná MFA (viacfaktorová autentifikácia). Ešte dôležitejšie je, že Lofy Stealer dokáže rozpoznať, keď používatelia pridajú nový spôsob platby, a zhromaždí všetky zadané platobné údaje.

Všetky zozbierané údaje sa potom prenesú na servery hostené v Replite pod kontrolou aktéra hrozby. Tieto adresy dostupných serverov sú pevne zakódované do hrozieb škodlivého softvéru. Výskumníci z Infosec varujú, že kyberzločinci zodpovední za operáciu LofyLife môžu uvoľniť nové škodlivé balíčky npm.