{"id":29076,"date":"2022-07-28T14:40:40","date_gmt":"2022-07-28T12:40:40","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29076"},"modified":"2022-07-28T15:11:45","modified_gmt":"2022-07-28T13:11:45","slug":"discord-token-und-kreditkarten","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/discord-token-und-kreditkarten\/29076\/","title":{"rendered":"Neue sch\u00e4dliche Kampagne hat Discord-Token und Kreditkarteninformationen im Visier"},"content":{"rendered":"<p><span data-contrast=\"auto\">Unsere Experten haben vor zwei Tagen, am 26. Juli, mithilfe des internen automatisierten Systems zur \u00dcberwachung von Open-Source-Repositories eine neue sch\u00e4dliche Kampagne namens \u201aLofyLife\u2018 entdeckt. Die Kampagne nutzt vier sch\u00e4dliche Pakete, die die Malware \u201aVolt Stealer\u2018 und \u201aLofy Stealer\u2018 im Open-Source-npm-Repository verbreiten. Sie sammeln verschiedene Informationen von ihren Opfern, darunter Discord-Token und Kreditkarteninformationen, und spionieren diese im Laufe der Zeit aus.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Das npm-Repository ist eine \u00f6ffentliche Sammlung von Open-Source-Code-Paketen, die in Front-End-Web-Apps, mobilen Apps, Robotern und Routern weit verbreitet sind und auch unz\u00e4hlige Anforderungen der JavaScript-Community erf\u00fcllen. Die Popularit\u00e4t dieses Repositorys macht die LofyLife-Kampagne noch gef\u00e4hrlicher, da sie m\u00f6glicherweise zahlreiche Nutzer des Repositorys betreffen k\u00f6nnte.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<blockquote class=\"twitter-pullquote\"><p>Neue sch\u00e4dliche Kampagne hat Discord-Token und Kreditkarteninformationen im Visier.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fmx36&amp;text=Neue+sch%C3%A4dliche+Kampagne+hat+Discord-Token+und+Kreditkarteninformationen+im+Visier.+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p><span data-contrast=\"auto\">Die identifizierten sch\u00e4dlichen Repositories schienen Pakete zu sein, die f\u00fcr gew\u00f6hnliche Aufgaben wie das Formatieren von \u00dcberschriften oder bestimmte Spielfunktionen verwendet werden. Sie enthielten jedoch stark verschleierten sch\u00e4dlichen JavaScript- und Python-Code. Dies erschwerte die Analyse beim Hochladen in das Repository. Der sch\u00e4dliche Payload bestand aus der Malware Volt Stealer, die in Python geschrieben wurde, sowie der JavaScript-Malware Lofy Stealer, die zahlreiche Funktionen besitzt.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Volt Stealer wurde verwendet, um Discord-Tokens und die IP-Adressen der Betroffenen von den infizierten Computern zu stehlen und sie \u00fcber HTTP hochzuladen. Der Lofy Stealer, eine Neuentwicklung der Angreifer, kann Discord-Client-Dateien infizieren und die Aktionen des Opfers \u00fcberwachen. Die Malware erkennt, wenn sich ein Nutzer anmeldet, E-Mail- oder Passwortdetails \u00e4ndert, die Multi-Faktor-Authentifizierung aktiviert oder deaktiviert und neue Zahlungsmethoden hinzuf\u00fcgt, einschlie\u00dflich vollst\u00e4ndiger Kreditkartendaten. Die gesammelten Informationen werden zudem auf den Remote-Endpoint hochgeladen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<blockquote class=\"twitter-pullquote\"><p>Volt Stealer wurde verwendet, um #Discord-Tokens und die IP-Adressen der Betroffenen von den infizierten Computern zu stehlen und sie \u00fcber HTTP hochzuladen.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fmx36&amp;text=%3Cspan+data-contrast%3D%22auto%22%3EVolt+Stealer+wurde+verwendet%2C+um+%23Discord-Tokens+und+die+IP-Adressen+der+Betroffenen+von+den+infizierten+Computern+zu+stehlen+und+sie+%C3%BCber+HTTP+hochzuladen.%3C%2Fspan%3E\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p><span data-contrast=\"auto\">Leonid Bezvershenko, Sicherheitsforscher im globalen Forschungs- und Analyseteam (GReAT) von Kaspersky, kommentiert die entdeckte Kampagne wie folgt:<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><i><span data-contrast=\"auto\">\u201eEntwickler verlassen sich stark auf Open-Source-Code-Repositories \u2013 sie nutzen sie, um die Entwicklung von IT-L\u00f6sungen schneller und effizienter zu gestalten. Sie tragen insgesamt erheblich zur Entwicklung der IT-Branche bei. Wie die LofyLife-Kampagne zeigt, kann jedoch selbst seri\u00f6sen Repositories nicht standardm\u00e4\u00dfig vertraut werden \u2013 s\u00e4mtlicher Code, den ein Entwickler in seine Produkte einf\u00fcgt, einschlie\u00dflich Open-Source-Code, liegt in seiner eigenen Verantwortung. Wir haben Kennungen dieser Malware zu unseren Produkten hinzugef\u00fcgt, damit Anwender, die unsere L\u00f6sungen nutzen, feststellen k\u00f6nnen, ob sie infiziert wurden, und die Malware entfernen k\u00f6nnen.\u201c<\/span><\/i><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p><span data-contrast=\"auto\">Kaspersky-Produkte erkennen LofyLife-Malware als Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p>\u00a0<\/p>\n<p><span data-contrast=\"auto\">Weitere Informationen sind verf\u00fcgbar: <\/span><a href=\"https:\/\/securelist.com\/lofylife-malicious-npm-packages\/107014\/\" target=\"_blank\" rel=\"noopener\"><span data-contrast=\"none\">https:\/\/securelist.com\/lofylife-malicious-npm-packages\/107014\/<\/span><\/a><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-cyberattacks\">\n","protected":false},"excerpt":{"rendered":"<p>Cyberkriminelle haben es u.a. auf Discord-Token und Kreditkarteninformationen abgesehen. <\/p>\n","protected":false},"author":19,"featured_media":29078,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[3767,3968,3967,3969],"class_list":{"0":"post-29076","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-discord","10":"tag-lofylife","11":"tag-open-source-npm-respository","12":"tag-repositorys"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/discord-token-und-kreditkarten\/29076\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/discord\/","name":"Discord"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29076"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29076\/revisions"}],"predecessor-version":[{"id":29079,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29076\/revisions\/29079"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29078"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}