Luna Grabber

Ein unbekannter Bedrohungsakteur hat Entwickler ins Visier genommen, die an der Erstellung von Skripten für die äußerst beliebte Gaming-Plattform Roblox beteiligt sind. Dieses bedrohliche Unternehmen hat es geschafft, über ein Dutzend Open-Source-Softwarepakete zu kompromittieren, die häufig von solchen Entwicklern verwendet werden. Es wurde bestätigt, dass den manipulierten NPM-Paketen eine Informationen sammelnde Malware namens Luna Grabber implantiert wurde.

Diese offensive Kampagne nutzt Strategien wie Typo-Squatting und eine Reihe komplizierter Verschleierungstechniken. Diese werden genutzt, um Benutzer dazu zu verleiten, gefälschte Versionen häufig verwendeter Software über npm, eine renommierte Open-Source-Softwarebibliothek, herunterzuladen. Obwohl diese Pakete in vielen Fällen immer noch den authentischen Code enthalten, den Entwickler suchen, bergen sie auch einen mehrstufigen Malware-Angriff. Dieser Angriff kann den Luna Grabber an verschiedenen Fronten entfesseln, einschließlich des Webbrowsers, der Discord-Anwendung und anderer Kanäle des Opfers.

Der Luna Grabber kann verschiedene sensible Informationen von gehackten Geräten sammeln

Der Luna Grabber fungiert als Bedrohungssoftware mit dem ausdrücklichen Zweck, Daten aus Webbrowsern, der Discord-Anwendung und lokalen Systemkonfigurationen zu extrahieren. Darüber hinaus verfügt es über typische Attribute, die häufig bei unsicheren Programmen zu finden sind, wie z. B. die Fähigkeit, die Ausführung innerhalb einer virtuellen Umgebung zu erkennen, und einen inhärenten Selbstzerstörungsmechanismus.

Der Luna Grabber zeichnet sich durch ein hohes Maß an Anpassungsfähigkeit aus. Angreifer haben die Flexibilität, ihr Verhalten anzupassen, um verschiedene Aufgaben auszuführen. Mit dem Toolkit des Erstellers können Cyberkriminelle den Luna Grabber mühelos so konfigurieren, dass er beim Starten des Computers automatisch startet. Anschließend kann es eine Reihe von Daten sammeln, darunter WLAN-Daten und sogar Zwei-Faktor-Authentifizierungscodes (2FA). Darüber hinaus kann es auf Besonderheiten von Spielen wie Minecraft eingehen.

Die Anwesenheit des Luna Grabber bringt erhebliche Bedrohungen und potenziellen Schaden mit sich. Diese böswillige Software wurde sorgfältig entwickelt, um unbemerkt persönliche und sensible Daten aus einer Vielzahl von Quellen zu sammeln und zu extrahieren. Dies umfasst Informationen, die in Webbrowsern gespeichert werden und möglicherweise Anmeldeinformationen, Finanzunterlagen, private Gespräche, persönliche Profile und mehr gefährden. In Fällen, in denen das Opfer die Discord-Anwendung nutzt, erweitert Luna Grabber seine Reichweite, um auch von dort aus Daten zu stehlen. Dadurch könnten möglicherweise persönliche Gespräche und vertrauliche Informationen offengelegt werden.

Darüber hinaus spiegeln die Fähigkeit des Luna Grabbers, virtuelle Umgebungen zu identifizieren, und sein eingebauter Selbstzerstörungsmechanismus einen Grad an Raffinesse wider, der seinen Widerstand gegen Erkennung und Entfernung erhöht. Diese Raffinesse könnte zu einer längeren Gefährdung und anhaltenden Datenexfiltration führen.

Roblox war schon früher das Ziel von Malware-Angriffen

Roblox wird als Online-Videospielplattform beschrieben, auf der Benutzer, ähnlich wie bei Spielen wie Minecraft, virtuelle Welten und Levels erstellen können, in denen andere spielen können. Seit der COVID-19-Pandemie ist seine Popularität explodiert, und Berichten zufolge kann das Spiel derzeit mit Erfolg aufwarten etwa mehr als 60 Millionen täglich aktive Nutzer und mehr als 200 Millionen monatlich aktive Nutzer.

Die Luna Grabber-Kampagne ist nicht das erste Mal, dass Entwickler der äußerst beliebten Spieleplattform ins Visier von Hackern geraten. Im Jahr 2021 nutzte eine andere nicht identifizierte Partei eine ähnliche Methode, indem sie noblox.js durch Tippfehler als Vektor für die Verbreitung von Ransomware an die Opfer nutzte. Der Grund könnte darin liegen, dass der durchschnittliche Entwickler, der Roblox-Level erstellt, im Gegensatz zu vielen anderen beliebten Spielen wahrscheinlich jünger ist, nicht an ein größeres Unternehmen oder eine größere Geschäftseinheit gebunden ist und weniger über Bedrohungen durch Open-Source-Software informiert ist. Die Angreifer hoffen wahrscheinlich, dass ihre Ziele nicht über das Sicherheitsbewusstsein verfügen, um die Bibliotheken von Drittanbietern, nach denen sie suchen oder die sie verwenden, tatsächlich zu überprüfen.

Vor Jahren kam es zu ähnlichen Ausbrüchen cyberkrimineller Aktivitäten gegen Minecraft-Entwickler, doch nun scheinen sie auf Roblox umgestiegen zu sein, als das nächste große Ding.