'Noblox.js' NPM Malware

Siber güvenlik araştırmacıları tarafından npm Registry'de 'noblox.js-rpc' adlı yeni bir tehdit paketi tespit edildi. Tehdit, güvenliği ihlal edilmiş makinelerden çeşitli hassas veriler elde edebilen birkaç bilgi hırsızını dağıtmak için tasarlanmıştır. Toplanan veriler, hesap kimlik bilgilerini, özel dosyaları ve ayrıca Windows kayıt anahtarını içerebilir. noblox.js-rpc saldırısının son aşaması, fidye yazılımı tipi bir modülün etkinleştirilmesini içerir.

Teknik detaylar

Saldırı, noblox.js-rpc tehdidinin package.json dosyasındaki yükleme sonrası komut dosyasıyla başlar. Tehdit edici yükün geri kalanını getirmeden önce, tehdit Windows sistemlerini hedeflediğinden çevre kontrolü yapılır.yalnızca. Kontrol olumlu bir sonuç verirse, kötü amaçlı yazılım bir setup.bat dosyası yürütmeye devam eder.

Bu toplu komut dosyası, saldırının parçası olan yürütülebilir dosyaların geri kalanını almaktan sorumlu bir damlalık görevi görür. Dört ek yürütülebilir dosya belirlendi - 'Rar.bat', 'Rar.exe', 'Rara.exe' ve 'Mbr.exe'. Toplu komut dosyası ayrıca, güvenlik özelliğinin zararlı etkinliklerine müdahale etmesini durdurmak için Windows Defender'a genel bir dışlama - 'C:/' ekler.

Saldırının bir sonraki aşaması, iki bilgi hırsızını çalıştırmaktan oluşur - Rar.exe ve Rara.exe. İlk olarak, kurbanın Minecraft oturum dosyalarını ve Roblox çerezlerini elde etmek için özel hırsız Rar.exe yürütülür. Ardından, tüm hassas verilerin toplandığından emin olmak için Rara.exe başlatılır ve çeşitli kimlik bilgilerini bir araya getirmeye devam eder.

Son adım, MBRLocker'ın bir çeşidi olan fidye yazılımı tipi bir tehdidin dağıtımını görür.muhtemelen. Mbr.exe, kurbanın verilerini şifrelemek yerine sistemin Ana Önyükleme Kaydının üzerine yazar. Bunu yapmak, tüm sistemin yeniden başlatılmasını engelleyerek kullanıcıların tüm dosyalarına erişmesini engeller. Mağdurlara, ödeme hakkında ek talimatlar almak için belirli bir discord sunucusuna katılmaları gerektiğini belirten bir fidye mesajı gösterilecektir. Not ayrıca, talep edilen fidyenin 100 ila 500 dolar arasında değişebileceğini belirtiyor. Bilgisayar korsanları ayrıca 48 saat sonra tüm sabit diskin silineceği ve toplanan bilgilerin halka sızdırılacağı konusunda da uyarıyor.

Noblox.js'nin Kurbanları

Tehdidin asıl kurbanlarının Roblox oyuncuları olduğu aşikar. Bu nedenle saldırganlar, kurbanlarını tehdit paketini kurmaları ve çalıştırmaları için kandırmak için yenilikçi bir yol bulmuşlardır. Bilgisayar korsanları, özel Roblox oyunlarını paylaşmaya adanmış belirli anlaşmazlık sunucularına katılır.

Bilgisayar korsanları daha sonra kullanıcılara gerçek para kazanma fırsatı, Discord'un ücretli katmanlarına abonelik veya oyun içi Roblox para birimi olan Robux'u sunuyormuş gibi davranıyor. Parayı almak için, kullanıcıların saldırganlar tarafından sağlanan botları barındırması gerekecek. Tabii ki, beklenen parasal kazançlar yerine, kullanıcılara 'Noblox.js' tehdidi verilir ve bozuk dosyayı çalıştırırlarsa korkunç sonuçlara maruz kalırlar.