Lofy Stealer

Raziskovalci kibernetske varnosti so odkrili grozečo kampanjo, ki cilja na podatke Discorda in žetone njegovih žrtev. Informacije o operaciji in grožnjah zlonamerne programske opreme, ki so jih uporabili napadalci, so objavili v poročilu strokovnjakov za zlonamerno programsko opremo. Po njihovih ugotovitvah akterji groženj uporabljajo oborožene pakete npm (Node Package Manager) za dostavo dveh različnih zlonamernih programov – zakrite kode Python, ki pripada grožnji, znani kot Volt Stealer, in zlonamerne programske opreme JavaScript z imenom Lofy Stealer. Napadna kampanja kot celota se spremlja kot LofyLife.

Štirje poškodovani moduli npm, ki jih širijo hekerji, se imenujejo "small-sm", "pern-valids", "lifeculer" ali "proc-title." Po izvedbi bodo v sistem žrtve spustili povezano zlonamerno programsko opremo. Lofy Stealer je zasnovan posebej za okužbo datotek odjemalca Discord ciljnega uporabnika. To omogoča napadalcem, da spremljajo aktivnosti žrtve. Če smo natančnejši, je Lofy Stealer sposoben zaznati, kdaj se uporabnik prijavi v Discord, ali spremeni e-pošto ali geslo, povezano z računom, in ali je MFA (večfaktorska avtentikacija) omogočena ali onemogočena. Še pomembneje pa je, da lahko Lofy Stealer prepozna, ko uporabniki dodajo novo plačilno sredstvo, in zbere vse vnesene podatke o plačilu.

Vsi zbrani podatki se nato prenesejo na strežnike, ki jih gosti Replit, pod nadzorom akterja grožnje. Ti naslovi razpoložljivih storitev so trdo kodirani v grožnje zlonamerne programske opreme. Raziskovalci Infosec opozarjajo, da bi lahko kiberkriminalci, odgovorni za operacijo LofyLife, izdali nove zlonamerne pakete npm.