Рекомендуем почитать:
ИБ-специалист MalwareHunterTeam обнаружил малварь Spidey Bot, которая превращает Discord для Windows в средство для шпионажа и кражи информации.
Так как Discord является Electron-приложением, почти вся его функциональность основана на HTML, CSS и JavaScript, что позволяет злоумышленникам модифицировать ключевые файлы и вынудить клиента заниматься вредоносной активностью.
Во время установки Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%Discord[version]modulesdiscord_modulesindex.js и %AppData%Discord[version]modulesdiscord_desktop_coreindex.js. Затем вредонос завершит работу Discord и перезапустит программу для вступления изменений в силу.
После запуска вредоносный JavaScript будет использовать различные команды Discord API и функции JavaScript для сбора информации о пользователе, которая затем будет передана злоумышленнику через веб-хук Discord. В числе этих данных будут:
После передачи этой информации своим операторам малварь выполнит функцию fightdio(), которая действует как бэкдор. Данная функция будет использоваться для подключения к удаленному сайту и ожидания дополнительных команд. Это позволит злоумышленнику выполнять другие вредоносные действия, включая кражу платежной информации, выполнение команд на машине жертвы и установку другого вредоносного ПО.
Еще один известный ИБ-эксперт Виталий Кремез тоже изучил новую малварь и сообщает, что в ходе заражения используются файлы с такими именами, как Blueface Reward Claimer.exe и Synapse X.exe. И хотя исследователь не уверен до конца, как именно распространяется Spidey Bot, он полагает, что злоумышленники используют обычные сообщения в Discord для распространения угрозы
Аналитики отмечают, что подобные атаки опасны тем, что не демонстрируют никаких внешних признаков компрометации. Заметить подозрительную активность можно лишь обнаружив странные вызовы API и веб-хуков. Хуже того, защитные решения пока плохо обнаруживают эту малварь. Так, согласно VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.
Читайте также
Последние новости