Lofy Stealer

Siber güvenlik araştırmacıları, kurbanlarının Discord verilerini ve belirteçlerini hedef alan tehdit edici bir kampanya ortaya çıkardı. Saldırganlar tarafından kullanılan operasyon ve kötü amaçlı yazılım tehditleri hakkında bilgiler, kötü amaçlı yazılım uzmanları tarafından bir raporda yayınlandı. Bulgularına göre, tehdit aktörleri, Volt Stealer olarak bilinen bir tehdide ve bir JavaScript kötü amaçlı yazılım adı olan Lofy Stealer'a ait olan karmaşık bir Python kodu olmak üzere iki farklı kötü amaçlı yazılım sunmak için silahlı npm (Düğüm Paketi Yöneticisi) paketleri kullanıyor. Saldırı kampanyası bir bütün olarak LofyLife olarak izleniyor.

Bilgisayar korsanları tarafından yayılan dört bozuk npm modülü 'small-sm', 'pern-valids', 'lifeculer' veya 'proc-title' olarak adlandırılır. Yürütüldükten sonra, ilişkili kötü amaçlı yazılımı kurbanın sistemine bırakırlar. Lofy Stealer, hedeflenen kullanıcının Discord istemci dosyalarına bulaşmak için özel olarak tasarlanmıştır. Bunu yapmak, saldırganların kurbanın faaliyetlerini izlemesini sağlar. Daha kesin olmak gerekirse, Lofy Stealer, kullanıcının Discord'a ne zaman giriş yaptığını, hesapla ilgili e-posta veya şifrede herhangi bir değişiklik yapıp yapmadığını ve MFA'nın (çok faktörlü kimlik doğrulama) etkin veya devre dışı olup olmadığını tespit edebilir. Daha da önemlisi, Lofy Stealer, kullanıcıların yeni bir ödeme yöntemi eklediğini anlayabilir ve girilen tüm ödeme ayrıntılarını toplayacaktır.

Toplanan tüm veriler daha sonra tehdit aktörünün kontrolü altında Replit tarafından barındırılan sunuculara iletilir. Mevcut hizmetlerin bu adresleri, kötü amaçlı yazılım tehditlerine kodlanmıştır. Infosec araştırmacıları, LofyLife operasyonundan sorumlu siber suçlular tarafından yeni kötü amaçlı npm paketlerinin yayınlanabileceği konusunda uyarıyor.