'Noblox.js' NPM Malware

Ein neues bedrohliches Paket namens „noblox.js-rpc“ wurde von Cybersicherheitsforschern in der npm-Registrierung entdeckt. Die Bedrohung soll mehrere Infostealer einsetzen, die verschiedene sensible Daten von den kompromittierten Computern abrufen können. Zu den gesammelten Daten können Kontoanmeldeinformationen, private Dateien sowie der Windows-Registrierungsschlüssel gehören. Die letzte Phase des noblox.js-rpc-Angriffs umfasst die Aktivierung eines Ransomware-artigen Moduls.

Technische Details

Der Angriff beginnt mit einem Post-Install-Skript aus der Datei package.json der Bedrohung noblox.js-rpc. Bevor der Rest der bedrohlichen Nutzlast abgerufen wird, wird eine Überprüfung der Umgebung durchgeführt, da die Bedrohung einzig und allein auf Windows-Systeme abzielt. Wenn die Prüfung ein positives Ergebnis liefert, führt die Malware eine setup.bat-Datei aus.

Dieses Batch-Skript fungiert als Dropper, der für das Erfassen der restlichen ausführbaren Dateien verantwortlich ist, die Teil des Angriffs sind. Es wurden vier zusätzliche ausführbare Dateien identifiziert – „Rar.bat“, „Rar.exe“, „Rara.exe“ und „Mbr.exe“. Das Batch-Skript fügt Windows Defender außerdem einen allgemeinen Ausschluss "C:/" hinzu, um zu verhindern, dass die Sicherheitsfunktion seine schädlichen Aktivitäten beeinträchtigt.

Die nächste Phase des Angriffs besteht darin, die beiden Infostealer - Rar.exe und Rara.exe - auszuführen. Zuerst wird der benutzerdefinierte Stealer Rar.exe ausgeführt, um die Minecraft-Sitzungsdateien und Roblox-Cookies des Opfers zu erhalten. Um dann sicherzustellen, dass alle sensiblen Daten gesammelt wurden, wird Rara.exe gestartet und fährt mit der Zusammenstellung verschiedener Anmeldeinformationen fort.

Im letzten Schritt wird eine Ransomware-artige Bedrohung bereitgestellt, möglicherweise eine Variante von MBRLocker. Anstatt die Daten des Opfers zu verschlüsseln, überschreibt Mbr.exe den Master Boot Record des Systems. Dadurch wird verhindert, dass das gesamte System erneut hochfährt, wodurch Benutzer daran gehindert werden, auf alle ihre Dateien zuzugreifen. Den Opfern wird eine Lösegeldnachricht angezeigt, die besagt, dass sie einem bestimmten Discord-Server beitreten müssen, um zusätzliche Anweisungen zur Zahlung zu erhalten. In der Notiz wird auch erwähnt, dass das geforderte Lösegeld zwischen 100 und 500 US-Dollar liegen könnte. Die Hacker warnen auch davor, dass nach 48 Stunden die gesamte Festplatte gelöscht wird, während die gesammelten Informationen an die Öffentlichkeit weitergegeben werden.

Opfer von Noblox.js

Es ist offensichtlich, dass die Hauptopfer der Bedrohung Roblox-Spieler sind. Daher haben sich die Angreifer einen innovativen Weg einfallen lassen, um ihre Opfer dazu zu bringen, das bedrohliche Paket zu installieren und auszuführen. Die Hacker treten bestimmten Discord-Servern bei, die für die gemeinsame Nutzung benutzerdefinierter Roblox-Spiele bestimmt sind.

Die Hacker geben dann vor, Benutzern die Möglichkeit zu bieten, echtes Geld zu verdienen, Abonnements für die kostenpflichtigen Stufen von Discord oder Robux, die Roblox-Währung im Spiel. Um an das Geld zu kommen, müssen die Benutzer Bots hosten, die von den Angreifern bereitgestellt werden. Anstelle der erwarteten Geldgewinne erhalten die Benutzer natürlich die Bedrohung durch 'Noblox.js' und werden schlimme Konsequenzen erleiden, wenn sie die beschädigte Datei ausführen.