'Noblox.js' NPM Malware

Un nuevo paquete amenazante llamado 'noblox.js-rpc' fue detectado en el Registro de npm por investigadores de ciberseguridad. La amenaza está diseñada para desplegar varios infostealers capaces de obtener varios datos confidenciales de las máquinas comprometidas. Los datos recopilados pueden incluir credenciales de cuenta, archivos privados y la clave de registro de Windows. La etapa final del ataque noblox.js-rpc incluye la activación de un módulo de tipo ransomware.

Detalles técnicos

El ataque comienza con un script posterior a la instalación del archivo package.json de la amenaza noblox.js-rpc. Antes de buscar el resto de la carga útil amenazante, se realiza una verificación del entorno, ya que la amenaza está dirigida a los sistemas Windows.solamente. Si la comprobación arroja un resultado positivo, el malware procede a ejecutar un archivo setup.bat.

Este script por lotes funciona como un cuentagotas responsable de capturar el resto de ejecutables que forman parte del ataque. Se han identificado cuatro ejecutables adicionales: "Rar.bat", "Rar.exe", "Rara.exe" y "Mbr.exe". El script por lotes también agrega una exclusión general: 'C: /' a Windows Defender para evitar que la función de seguridad interfiera con sus actividades dañinas.

La siguiente fase del ataque consiste en ejecutar los dos infostealers: Rar.exe y Rara.exe. Primero, se ejecuta el ladrón personalizado Rar.exe para obtener los archivos de sesión de Minecraft de la víctima y las cookies de Roblox. Luego, para asegurarse de que se hayan recopilado todos los datos confidenciales, se inicia Rara.exe y se procede a reunir varias credenciales.

El último paso consiste en el despliegue de una amenaza de tipo ransomware, una variante de MBRLocker,posiblemente. En lugar de cifrar los datos de la víctima, Mbr.exe sobrescribe el registro de inicio maestro del sistema. Si lo hace, evitará que todo el sistema se inicie nuevamente, lo que evitará que los usuarios accedan a todos sus archivos. Se mostrará un mensaje de rescate a las víctimas, indicando que deberán unirse a un servidor de discordia específico para recibir instrucciones adicionales sobre el pago. La nota también menciona que el rescate exigido podría oscilar entre $ 100 y $ 500. Los piratas informáticos también advierten que después de 48 horas, se borrará todo el disco duro mientras que la información recopilada se filtrará al público.

Víctimas de Noblox.js

Es evidente que las principales víctimas de la amenaza son los jugadores de Roblox. Como tal, los atacantes han ideado una forma innovadora de engañar a sus víctimas para que instalen y ejecuten el paquete amenazante. Los piratas informáticos se unen a servidores de discordia específicos dedicados a compartir juegos personalizados de Roblox.

Luego, los piratas informáticos fingen ofrecer a los usuarios la oportunidad de ganar dinero real, suscripciones a los niveles pagados de Discord o Robux, la moneda de Roblox en el juego. Para obtener el dinero, los usuarios deberán alojar bots proporcionados por los atacantes. Por supuesto, en lugar de las ganancias monetarias esperadas, los usuarios reciben la amenaza 'Noblox.js' y sufrirán graves consecuencias si ejecutan el archivo dañado.