Luna Grabber

Un acteur menaçant non identifié cible les développeurs impliqués dans la création de scripts pour la très populaire plateforme de jeu Roblox. Cette entité menaçante a réussi à compromettre plus d'une douzaine de progiciels open source fréquemment utilisés par ces développeurs. Il a été confirmé que les packages npm falsifiés avaient été implantés avec un malware de collecte d'informations nommé Luna Grabber.

Cette campagne offensive utilise des stratégies telles que le typo-squatting et une gamme de techniques complexes d’obscurcissement. Ceux-ci sont utilisés pour inciter les utilisateurs à télécharger des éditions contrefaites de logiciels couramment utilisés via npm, une bibliothèque de logiciels open source renommée. Bien que, dans de nombreux cas, ces packages contiennent toujours le code authentique recherché par les développeurs, ils abritent également une attaque de logiciels malveillants en plusieurs phases. Cette agression est capable de déclencher le Luna Grabber sur différents fronts, notamment le navigateur Web de la victime, l'application Discord et d'autres canaux.

Le Luna Grabber peut collecter diverses informations sensibles à partir d'appareils violés

Le Luna Grabber fonctionne comme un logiciel menaçant dans le but explicite d'extraire des données des navigateurs Web, de l'application Discord et des configurations du système local. De plus, il intègre des attributs typiques que l'on trouve couramment dans les programmes dangereux, tels que la capacité de reconnaître son exécution dans un environnement virtuel et un mécanisme d'autodestruction inhérent.

Le Luna Grabber possède un haut degré d’adaptabilité. Les attaquants ont la possibilité de personnaliser leur comportement pour effectuer diverses tâches. Grâce à la boîte à outils du créateur, les cybercriminels peuvent facilement configurer le Luna Grabber pour qu'il se lance automatiquement au démarrage de l'ordinateur. Il peut ensuite collecter toute une série de données, notamment des informations Wi-Fi et même des codes d'authentification à deux facteurs (2FA). De plus, il peut approfondir les spécificités de jeux comme Minecraft.

La présence du Luna Grabber entraîne des menaces importantes et des dommages potentiels. Ce logiciel malveillant est méticuleusement conçu pour récolter et exfiltrer silencieusement des données personnelles et sensibles provenant de diverses sources. Cela englobe les informations stockées dans les navigateurs Web, mettant potentiellement en danger les informations de connexion, les dossiers financiers, les conversations privées, les profils personnels et bien plus encore. Dans les cas où la victime utilise l'application Discord, Luna Grabber étend également sa portée pour y voler des données. Cela pourrait potentiellement exposer des discussions personnelles et des informations sensibles.

De plus, la capacité du Luna Grabber à identifier les environnements virtuels et son mécanisme d'autodestruction intégré reflètent un niveau de sophistication qui augmente sa résistance à la détection et à la suppression. Cette sophistication pourrait entraîner une exposition prolongée et une exfiltration continue des données.

Roblox a déjà été la cible d’attaques de logiciels malveillants

Roblox est décrit comme une plate-forme de jeux vidéo en ligne sur laquelle, à l'instar de jeux comme Minecraft, les utilisateurs peuvent créer des mondes et des niveaux virtuels dans lesquels d'autres peuvent jouer. Depuis la pandémie de COVID-19, sa popularité a explosé, avec des rapports indiquant que le jeu possède actuellement certains plus de 60 millions d’utilisateurs actifs quotidiens et plus de 200 millions d’utilisateurs actifs mensuels.

La campagne Luna Grabber n'est pas la première fois que les développeurs de la plateforme de jeu très populaire sont ciblés par des pirates informatiques. En 2021, une autre partie non identifiée a utilisé une méthode similaire consistant à squatter le fichier noblox.js comme vecteur pour transmettre un ransomware aux victimes. La raison pourrait être que, contrairement à de nombreux autres jeux populaires, le développeur moyen créant des niveaux Roblox est susceptible d'être plus jeune, sans lien avec une grande entreprise ou entité commerciale et moins averti des menaces provenant des logiciels open source. Les attaquants espèrent probablement que leurs cibles n'ont pas les connaissances en matière de sécurité nécessaires pour contrôler les bibliothèques tierces qu'ils recherchent ou utilisent.

Il y a des années, des activités cybercriminelles similaires ont ciblé les développeurs de Minecraft, mais ils semblent désormais s'être tournés vers Roblox comme prochaine grande nouveauté.