Luna Grabber

Neznámy aktér hrozby sa zameriava na vývojárov, ktorí sa podieľajú na tvorbe skriptov pre nesmierne populárnu hernú platformu Roblox. Tejto hrozivej entite sa podarilo kompromitovať viac ako tucet softvérových balíkov s otvoreným zdrojovým kódom, ktoré takíto vývojári často využívajú. Potvrdilo sa, že sfalšované balíčky npm boli implantované s malvérom na zhromažďovanie informácií s názvom Luna Grabber.

Táto útočná kampaň využíva stratégie ako typo-squatting a celý rad zložitých zahmlievacích techník. Používajú sa na zvádzanie používateľov, aby si stiahli falošné vydania bežne používaného softvéru cez npm, renomovanú softvérovú knižnicu s otvoreným zdrojovým kódom. Aj keď v mnohých prípadoch tieto balíky stále obsahujú autentický kód, ktorý vývojári hľadajú, ukrývajú aj viacfázový malvérový útok. Tento útok je schopný rozpútať Luna Grabber na rôznych frontoch, vrátane webového prehliadača obete, aplikácie Discord a ďalších kanálov.

Luna Grabber dokáže zbierať rôzne citlivé informácie z poškodených zariadení

Luna Grabber funguje ako ohrozujúci softvér s explicitným účelom extrahovania údajov z webových prehliadačov, aplikácie Discord a konfigurácií miestnych systémov. Okrem toho obsahuje typické atribúty, ktoré sa bežne vyskytujú v nebezpečných programoch, ako je schopnosť rozpoznať ich vykonanie vo virtuálnom prostredí a vlastný samodeštrukčný mechanizmus.

Luna Grabber sa môže pochváliť vysokým stupňom prispôsobivosti. Útočníci majú možnosť prispôsobiť svoje správanie rôznym úlohám. Prostredníctvom súpravy nástrojov pre tvorcu môžu počítačoví zločinci bez námahy nakonfigurovať Luna Grabber tak, aby sa automaticky spustil pri spustení počítača. Potom môže zhromaždiť celý rad údajov vrátane údajov o Wi-Fi a dokonca aj kódov dvojfaktorovej autentifikácie (2FA). Navyše sa môže ponoriť do špecifík z hier ako Minecraft.

Prítomnosť Luna Grabber prináša značné hrozby a potenciálne škody. Tento zlomyseľný softvér je precízne vytvorený tak, aby potichu zbieral a extrahoval osobné a citlivé údaje z rôznych zdrojov. To zahŕňa informácie uložené vo webových prehliadačoch, ktoré potenciálne ohrozujú prihlasovacie údaje, finančné záznamy, súkromné konverzácie, osobné profily a ďalšie. V prípadoch, keď obeť používa aplikáciu Discord, Luna Grabber rozširuje svoj dosah na krádež údajov aj odtiaľ. To by mohlo potenciálne odhaliť osobné diskusie a citlivé informácie.

Okrem toho schopnosť Luna Grabber identifikovať virtuálne prostredia a jeho vstavaný samodeštrukčný mechanizmus odráža úroveň sofistikovanosti, ktorá zvyšuje jeho odolnosť voči detekcii a odstráneniu. Táto sofistikovanosť by mohla viesť k predĺženej expozícii a neustálemu úniku údajov.

Roblox bol terčom malvérových útokov už predtým

Roblox je opísaný ako online videoherná platforma, kde, podobne ako v hrách ako Minecraft, môžu používatelia vytvárať virtuálne svety a úrovne, v ktorých môžu hrať ostatní. Od pandémie COVID-19 jeho popularita explodovala a správy naznačujú, že hra sa v súčasnosti pýši približne 60 miliónov aktívnych používateľov denne a viac ako 200 miliónov aktívnych používateľov mesačne.

Kampaň Luna Grabber nie je prvýkrát, čo sa vývojári tejto veľmi populárnej hernej platformy stali terčom hackerov. V roku 2021 iná neidentifikovaná strana použila podobnú metódu zahŕňajúcu preklep noblox.js ako vektor na doručenie ransomvéru obetiam. Dôvodom môže byť to, že na rozdiel od mnohých iných populárnych hier je priemerný vývojár, ktorý vytvára úrovne Roblox, pravdepodobne mladší, nesúvisiaci s väčším podnikom alebo podnikateľským subjektom a menej sofistikovaný v súvislosti s hrozbami zo softvéru s otvoreným zdrojovým kódom. Útočníci pravdepodobne dúfajú, že ich ciele nemajú dostatočné povedomie o bezpečnosti na to, aby skutočne preverili knižnice tretích strán, ktoré hľadajú alebo používajú.

Pred rokmi došlo k podobným výbuchom kyberzločineckých aktivít zameraných na vývojárov Minecraftu, ale teraz sa zdá, že prešli na Roblox ako ďalšiu veľkú vec.