Avertisment pentru toți cei care au card la bancă. Un nou virus face ravagii și poate fura toți banii din conturi. Experții de la Kaspersky trag un semnal de alarmă în acest sens.
Potrivit sursei citate, a fost demarată o nouă campanie rău intenționată care caută token-uri Discord și informații despre cardul de credit prin pachete npm open-source infectate.
Cercetătorii susțin că un malware ajunge să infecteze anumite fișiere și poate monitoriza astfel acțiunile victimei. Virusul este atât de complex încât poate detecta dacă un utilizator se conectează sau își schimbă detaliile de la e-mail sau parolă.
De asemenea, cei care au carduri bancare sunt și ei vizați, avertizează cercetătorii Kaspersky. Acești susțin că au identificat o campanie rău intenționată denumită LofyLife.
Respectiva campanie a folosit patru astfel de pachete care răspândesc malware Volt Stealer și Lofy Stealer în depozitul open-source npm pentru a aduna diverse informații de la victime, inclusiv token-uri Discord și informații despre cardul de credit, și pentru a le spiona ulterior.
Cum puteți rămâne fără bani pe card?
În ceea ce privește modul de funcționare, conform experților Kaspersky, depozitul npm este o colecție publică de pachete de cod open-source utilizate pe scară largă în aplicații web front-end, aplicații mobile, roboți și routere și, de asemenea, pentru a servi nenumărate nevoi ale comunității JavaScript.
„Popularitatea sa face campania LofyLife și mai periculoasă, deoarece ar fi putut afecta mulți utilizatori ai depozitului”, avertizează sursa citată.
Totodată, experții mai susțin că toate arhivele rău intenționate care au fost identificate până la momentul actual nu păreau altceva decât pachete utilizare pentru sarcini ușoare cum sunt formatarea titlurilor sau anumite funcții de gaming.
În ciuda acestui lucru însă, ele conțineau coduri JavaScript și Python rău intenționate, foarte periculoase, avertizează cercetătorii, care mai precizează că acest lucru a făcut ca analiza să fie una extrem de dificilă.
„Sarcina utilă rău intenționată a constat într-un program malware scris în Python, denumit Volt Stealer, și un program malware JavaScript numit Lofy Stealer, cu numeroase funcții”, arată Kaspersky.
Cum funcționează virusul folosit de atacatori?
Sursa citată amintește faptul că Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, împreună cu adresa IP a victimei, și pentru a le încărca prin HTTP.
În același timp, atacatorii au mai creat și Lofy Stealer, care are capacitatea de a infecta fișierele clientului Discord și totodată de a monitoriza acțiunile acestuia. Astfel, pot fi văzute detalii de la schimbatul mail-ului sau a parolei, dar și activarea sau dezactivarea anumitor metode de plată, inclusiv cele cu cardul de credit.
„Lofy Stealer, o nouă creație a atacatorilor, este capabil să infecteze fișierele clientului Discord și să monitorizeze acțiunile victimei – detectând când un utilizator se conectează, schimbă detaliile legate de e-mail sau parolă, activează sau dezactivează autentificarea prin mai mulți factori și adaugă noi metode de plată, inclusiv detaliile complete ale cardului de credit.
Informațiile colectate sunt, de asemenea, încărcate la nivelul endpoint, la distanță”, mai avertizează experții.