Carduri bancare, virusate prin intermediul Discord. Cum au procedat atacatorii?
O nouă campanie rău intenționată caută token-uri Discord și informații despre cardul de credit prin pachete npm open-source infectate. Un malware infectează fișiere și monitorizează acțiunile victimei, detectând când un utilizator se conectează și schimbă detaliile la mail sau parolă.
Cercetătorii Kaspersky au identificat o campanie rău intenționată denumită LofyLife. Campania a folosit 4 pachete rău intenționate care răspândesc malware Volt Stealer și Lofy Stealer în depozitul open-source npm pentru a aduna diverse informații de la victime, inclusiv token-uri Discord și informații despre cardul de credit, și pentru a le spiona ulterior.
Depozitul npm este o colecție publică de pachete de cod open-source utilizate pe scară largă în aplicații web front-end, aplicații mobile, roboți și routere și, de asemenea, pentru a servi nenumărate nevoi ale comunității JavaScript.
Popularitatea sa face campania LofyLife și mai periculoasă, deoarece ar fi putut afecta mulți utilizatori ai depozitului.
Cum au fost infectate aceste carduri bancare?
Arhivele rău intenționate identificate păreau a fi pachete utilizate pentru sarcini obișnuite, cum ar fi formatarea titlurilor sau anumite funcții de gaming, cu toate acestea, conțineau coduri JavaScript și Python rău intenționate, foarte periculoase.
Acest lucru le-a făcut mai greu de analizat atunci o dată încărcate în depozit. Sarcina utilă rău intenționată a constat într-un program malware scris în Python, denumit Volt Stealer, și un program malware JavaScript numit Lofy Stealer, cu numeroase funcții.
Ce au folosit atacatorii?
Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, împreună cu adresa IP a victimei, și pentru a le încărca prin HTTP.
Lofy Stealer, o nouă creație a atacatorilor, este capabil să infecteze fișierele clientului Discord și să monitorizeze acțiunile victimei – detectând când un utilizator se conectează, schimbă detaliile legate de e-mail sau parolă, activează sau dezactivează autentificarea prin mai mulți factori și adaugă noi metode de plată, inclusiv detaliile complete ale cardului de credit.
Informațiile colectate sunt, de asemenea, încărcate la nivelul endpoint, la distanță.