ΑρχικήsecurityΟι χάκερ LofyGang δημιούργησαν μια επιχείρηση κλοπής credential

Οι χάκερ LofyGang δημιούργησαν μια επιχείρηση κλοπής credential

Οι χάκερ «LofyGang» δημιούργησαν μια τεράστια επιχείρηση κλοπής credential διανέμοντας 200 κακόβουλα πακέτα και ψεύτικα εργαλεία hacking σε πλατφόρμες code hosting, όπως το NPM και το GitHub.

Οι ερευνητές ανέφεραν ορισμένα από αυτά τα πακέτα σε πρόσφατες αναφορές των Kaspersky, Jfrog και Sonatype, που τα εντόπισαν σε επιθέσεις στην αλυσίδα εφοδιασμού χρησιμοποιώντας ονόματα πακέτων typo-squatted.

Πολλά από τα κακόβουλα πακέτα έχουν αναφερθεί και αφαιρεθεί, ενώ άλλα εξακολουθούν να είναι διαθέσιμα για λήψη. Υπάρχει ακόμη και ένα αποκλειστικό project για την αναζήτηση και παρακολούθηση κακόβουλων πακέτων LofyGang στο GitHub.

Δείτε επίσης: Toyota hack: Εκτέθηκαν οι πληροφορίες χιλιάδων ιδιοκτητών

Μια νέα έκθεση από τον Checkmarx επιχειρεί να χαρτογραφήσει τη λειτουργία του LofyGang και να παρέχει μια σαφή και ευρεία προοπτική σχετικά με τους στόχους, το μέγεθος και τον πραγματικό αντίκτυπο του απειλητικού παράγοντα.

Μια επιχείρηση κλοπής credential μεγάλης κλίμακας

Παρατηρώντας την εκτεταμένη διαδικτυακή παρουσία της απειλητικής ομάδας, ο Checkmarx συμπέρανε ότι ενδιαφέρονται να κλέψουν δεδομένα πιστωτικών καρτών, credentials Discord “Nitro” και λογαριασμούς υπηρεσιών streaming και gaming, όπως Disney+ και Minecraft.

Δείτε επίσης: ΗΠΑ: Οι top ευπάθειες που χρησιμοποιούν οι Κινέζοι hackers στις επιθέσεις τους

Ως εκ τούτου, η ομάδα LofyGang έχει ως κίνητρο το οικονομικό κέρδος, με στόχο την επίτευξη παραβίασης λογαριασμών μεγάλου όγκου και στη συνέχεια τη μεταπώληση της πρόσβασης σε αυτούς τους λογαριασμούς σε διάφορα ιδιωτικά κανάλια στο dark web, σε hacking forum και στο Discord.

Η ομάδα λειτουργεί επίσης και ένα κανάλι στο YouTube που φιλοξενεί εκπαιδευτικά βίντεο σχετικά με τον τρόπο χρήσης των εργαλείων hacking – δύο από αυτά τα βίντεο έχουν ξεπεράσει τις 10 χιλιάδες προβολές.

Δείτε επίσης: ΗΠΑ: Περιστατικό ασφαλείας στο σύστημα υγείας CommonSpirit

Το κανάλι στο Discord δημιουργήθηκε πριν από ένα χρόνο και προσέφερε καθοδήγηση και υποστήριξη στους χειριστές εργαλείων hacking του ομίλου.

LofyGang

Ένα bot στο Discord, που ονομάζεται “Lofy Boost”, μπορεί να χρησιμοποιηθεί από τα μέλη του καναλιού για να αγοράσουν Discord Nitro χρησιμοποιώντας μια κλεμμένη πιστωτική κάρτα για λογαριασμό του χρήστη. Το bot λαμβάνει και user token, τα οποία οι απατεώνες ενδέχεται να καταχραστούν αργότερα.

Το απόθεμα των κλεμμένων πιστωτικών καρτών προέρχεται από μολύνσεις της εφοδιαστικής αλυσίδας NPM και από την προώθηση εργαλείων hacking στο GitHub, τα οποία οι λιγότερο εξειδικευμένοι χάκερ “αρπάζουν” και χρησιμοποιούν δωρεάν.

Τα δωρεάν εργαλεία hacking προωθούνται σε φόρουμ όπου οι χάκερ τείνουν να συγκεντρώνονται και να μαθαίνουν ο ένας από τον άλλο.

Μερικά από τα εργαλεία που προωθούνται από τη συμμορία στο GitHub είναι ένας Discord spammer, ένας Nitro generator, ένας password stealer, ένας grabber token Discord και ένα module απόκρυψης ιστού του Discord.

Το κύριο κακόβουλο λογισμικό Discord της LofyGang τροποποιεί τη νόμιμη έκδοση της εφαρμογής Discord στο μολυσμένο σύστημα με μια κακόβουλη έκδοση που αφαιρεί τα στοιχεία της πιστωτικής κάρτας κάθε φορά που ο χρήστης πληρώνει για μια συνδρομή.

Στις περισσότερες περιπτώσεις, το malware δεν περιλαμβάνεται στο κύριο πακέτο. Αντίθετα, λαμβάνεται ως dependency, επομένως οι χειριστές των εργαλείων τους είναι λιγότερο πιθανό να συνειδητοποιήσουν ότι εξαπατήθηκαν και οι πλατφόρμες hosting δεν θα τα καταργήσουν.

Επιπλέον, το LofyGang χρησιμοποιεί περισσότερους από 50 λογαριασμούς για τη μεταφόρτωση πακέτων NPM, κατακερματίζοντας την κακόβουλη λειτουργία τους όσο το δυνατόν περισσότερο για να αποφύγει τις καταργήσεις μεγάλης κλίμακας.

Για μια πλήρη λίστα με τα πακέτα που πρέπει να αποφευχθούν/αφαιρεθούν, η Checkmarx συνέταξε μια λίστα στο GitHub.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS