O nouă campanie rău intenţionată caută token-uri Discord şi informaţii despre cardul de credit

Pe 26 iulie, folosind sistemul automatizat, intern, pentru monitorizarea depozitelor open-source, cercetătorii Kaspersky au identificat o campanie rău intenţionată denumită LofyLife, conform unui comunicat remis redacţiei. Campania a folosit 4 pachete rău intenţionate care răspândesc malware Volt Stealer şi Lofy Stealer în depozitul open-source npm pentru a aduna diverse informaţii de la victime, inclusiv token-uri Discord şi informaţii despre cardul de credit, şi pentru a le spiona ulterior.

Potrivit sursei citate, depozitul npm este o colecţie publică de pachete de cod open-source utilizate pe scară largă în aplicaţii web front-end, aplicaţii mobile, roboţi şi routere şi, de asemenea, pentru a servi nenumărate nevoi ale comunităţii JavaScript. Popularitatea sa face campania LofyLife şi mai periculoasă, deoarece ar fi putut afecta mulţi utilizatori ai depozitului.

Arhivele rău intenţionate identificate păreau a fi pachete utilizate pentru sarcini obişnuite, cum ar fi formatarea titlurilor sau anumite funcţii de gaming, cu toate acestea, conţineau coduri JavaScript şi Python rău intenţionate, foarte periculoase. Acest lucru le-a făcut mai greu de analizat atunci o dată încărcate în depozit. Sarcina utilă rău intenţionată a constat într-un program malware scris în Python, denumit Volt Stealer, şi un program malware JavaScript numit Lofy Stealer, cu numeroase funcţii.

Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, împreună cu adresa IP a victimei, şi pentru a le încărca prin HTTP. Lofy Stealer, o nouă creaţie a atacatorilor, este capabil să infecteze fişierele clientului Discord şi să monitorizeze acţiunile victimei - detectând când un utilizator se conectează, schimbă detaliile legate de e-mail sau parolă, activează sau dezactivează autentificarea prin mai mulţi factori şi adaugă noi metode de plată, inclusiv detaliile complete ale cardului de credit. Informaţiile colectate sunt, de asemenea, încărcate la nivelul endpoint, la distanţă.

Produsele Kaspersky detectează programele malware LofyLife ca Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen, se mai arată în comunicat.