'Noblox.js' NPM Malware

「noblox.js-rpc」という名前の新しい脅威パッケージが、サイバーセキュリティ研究者によってnpmレジストリで検出されました。この脅威は、侵入先のマシンからさまざまな機密データを取得できる複数の情報スティーラーを配備するように設計されています。収集されるデータには、アカウントのクレデンシャル、プライベートファイル、およびWindowsの登録キーが含まれます。 noblox.js-rpc攻撃の最終段階には、ランサムウェアタイプのモジュールのアクティブ化が含まれます。

技術的な詳細

攻撃は、noblox.js-rpc脅威のpackage.jsonファイルからのインストール後のスクリプトから始まります。脅威はWindowsシステムを対象としているため、脅威となるペイロードの残りをフェッチする前に、環境のチェックが実行されます。単独で。チェックで肯定的な結果が返された場合、マルウェアはsetup.batファイルの実行に進みます。

このバッチスクリプトは、攻撃の一部である残りの実行可能ファイルを取得するスポイトとして機能します。 4つの追加の実行可能ファイルが識別されました-「Rar.bat」、「Rar.exe」、「Rara.exe」、および「Mbr.exe」。バッチスクリプトはまた、一般的な除外-'C：/ 'をWindows Defenderに追加して、セキュリティ機能がその有害な活動に干渉するのを防ぎます。

攻撃の次のフェーズは、2つのinfostealer（Rar.exeとRara.exe）の実行で構成されます。まず、カスタムスティーラーRar.exeを実行して、被害者のMinecraftセッションファイルとRobloxCookieを取得します。次に、すべての機密データが収集されたことを確認するために、Rara.exeが開始され、さまざまな資格情報の収集に進みます。

最後のステップでは、MBRLockerの亜種であるランサムウェアタイプの脅威の展開を確認します。おそらく。 Mbr.exeは、被害者のデータを暗号化する代わりに、システムのマスターブートレコードを上書きします。そうすることで、システム全体が再び起動するのを防ぎ、ユーザーがすべてのファイルにアクセスするのをブロックします。被害者には身代金メッセージが表示され、支払いに関する追加の指示を受け取るには、指定された不和サーバーに参加する必要があることを示します。このメモには、要求された身代金が100ドルから500ドルの範囲になる可能性があることも記載されています。ハッカーはまた、48時間後にハードドライブ全体が消去され、収集された情報が一般に漏洩することを警告しています。

Noblox.jsの犠牲者

脅威の主な犠牲者がRobloxプレーヤーであることは明らかです。そのため、攻撃者は、被害者をだまして脅威のパッケージをインストールして実行させる革新的な方法を考え出しました。ハッカーは、カスタムRobloxゲームの共有専用の特定の不和サーバーに参加します。

その後、ハッカーはユーザーにリアルマネーを稼ぐ機会、Discordの有料ティアへのサブスクリプション、またはゲーム内のRoblox通貨であるRobuxを提供しているふりをします。お金を稼ぐには、ユーザーは攻撃者から提供されたボットをホストする必要があります。もちろん、期待される金銭的利益の代わりに、ユーザーには「Noblox.js」の脅威が与えられ、破損したファイルを実行すると悲惨な結果になります。