Следующая новость
Предыдущая новость

Злоумышленники превращают Discord в бэкдор и вынуждают воровать данные

24.10.2019 17:14
Злоумышленники превращают Discord в бэкдор и вынуждают воровать данные

Рекомендуем почитать:

Xakep #246. Учиться, учиться, учиться!

  • Содержание выпуска
  • Подписка на «Хакер»

ИБ-специалист MalwareHunterTeam обнаружил малварь Spidey Bot, которая превращает Discord для Windows в средство для шпионажа и кражи информации.

Так как Discord является Electron-приложением, почти вся его функциональность основана на HTML, CSS и JavaScript, что позволяет злоумышленникам модифицировать ключевые файлы и вынудить клиента заниматься вредоносной активностью.

Во время установки Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%Discord[version]modulesdiscord_modulesindex.js и %AppData%Discord[version]modulesdiscord_desktop_coreindex.js. Затем вредонос завершит работу Discord и перезапустит программу для вступления изменений в силу.

Злоумышленники превращают Discord в бэкдор и вынуждают воровать данные
Измененный index.js

После запуска вредоносный JavaScript будет использовать различные команды Discord API и функции JavaScript для сбора информации о пользователе, которая затем будет передана злоумышленнику через веб-хук Discord. В числе этих данных будут:

  • Discord-токен пользователя;
  • часовой пояс жертвы;
  • разрешение экрана;
  • локальный IP-адрес;
  • публичный IP-адрес (WebRTC);
  • информация о пользователе, в том числе имя пользователя, адрес электронной почты, номер телефона и так далее;
  • данные о том, хранит ли жертва платежную информацию;
  • user agent браузера;
  • версия Discord;
  • первые 50 символов из буфера обмена жертвы.

Злоумышленники превращают Discord в бэкдор и вынуждают воровать данные

После передачи этой информации своим операторам малварь выполнит функцию fightdio(), которая действует как бэкдор. Данная функция будет использоваться для подключения к удаленному сайту и ожидания дополнительных команд. Это позволит злоумышленнику выполнять другие вредоносные действия, включая кражу платежной информации, выполнение команд на машине жертвы и установку другого вредоносного ПО.

Злоумышленники превращают Discord в бэкдор и вынуждают воровать данные

Еще один известный ИБ-эксперт Виталий Кремез тоже изучил новую малварь и сообщает, что в ходе заражения используются файлы с такими именами, как Blueface Reward Claimer.exe и Synapse X.exe. И хотя исследователь не уверен до конца, как именно распространяется Spidey Bot, он полагает, что злоумышленники используют обычные сообщения в Discord для распространения угрозы

Аналитики отмечают, что подобные атаки опасны тем, что не демонстрируют никаких внешних признаков компрометации. Заметить подозрительную активность можно лишь обнаружив странные вызовы API и веб-хуков. Хуже того, защитные решения пока плохо обнаруживают эту малварь. Так, согласно VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.

Источник

Последние новости