Lofy Stealer

Eine Drohkampagne, die auf die Discord-Daten und Token ihrer Opfer abzielt, wurde von Cybersicherheitsforschern aufgedeckt. Informationen über die Operation und die von den Angreifern verwendeten Malware-Bedrohungen wurden in einem Bericht von Malware-Experten veröffentlicht. Ihren Erkenntnissen zufolge verwenden die Bedrohungsakteure bewaffnete npm-Pakete (Node Package Manager), um zwei verschiedene Malware zu verbreiten – einen verschleierten Python-Code, der zu einer Bedrohung namens Volt Stealer gehört, und eine JavaScript-Malware namens Lofy Stealer. Die gesamte Angriffskampagne wird als LofyLife verfolgt.

Die vier beschädigten npm-Module, die von den Hackern verbreitet werden, heißen „small-sm“, „pern-valids“, „lifeculer“ oder „proc-title“. Nach der Ausführung legen sie die zugehörige Malware auf dem System des Opfers ab. Der Lofy Stealer wurde speziell entwickelt, um die Discord-Client-Dateien des Zielbenutzers zu infizieren. Dadurch können die Angreifer die Aktivitäten des Opfers überwachen. Genauer gesagt ist Lofy Stealer in der Lage zu erkennen, wann sich der Benutzer bei Discord anmeldet, ob er Änderungen an der E-Mail oder dem Passwort für das Konto vornimmt und ob MFA (Multi-Faktor-Authentifizierung) aktiviert oder deaktiviert ist. Noch wichtiger ist, dass Lofy Stealer erkennen kann, wenn Benutzer eine neue Zahlungsmethode hinzufügen, und alle eingegebenen Zahlungsdetails sammelt.

Alle gesammelten Daten werden dann unter der Kontrolle des Angreifers an von Replit gehostete Server übertragen. Diese Adressen der verfügbaren Server sind in den Malware-Bedrohungen fest codiert. Forscher von Infosec warnen davor, dass neue bösartige npm-Pakete von den für die LofyLife-Operation verantwortlichen Cyberkriminellen veröffentlicht werden könnten.