Nowe złośliwe oprogramowanie atakuje użytkowników Discord, modyfikując klienta Windows Discord, tak aby przekształcił się w backdoora i trojana kradnącego informacje. Klient Windows Discord to aplikacja oparta o platformę programistyczną Electron, co oznacza, że prawie cała jej funkcjonalność pochodzi z HTML, CSS i JavaScript. Dzięki temu złośliwe oprogramowanie może modyfikować podstawowe pliki.

Adnotacja 2019 10 24 142552

Złośliwe oprogramowanie, wykryte przez badaczy z MalwareHunterTeam na początku tego miesiąca, nazywa się "Spidey Bot". Po instalacji na komputerze ofiary dodaje własny złośliwy kod JavaScript do plików %AppData%\Discord\[version]\modules\discord_modules\index.js oraz %AppData%\Discord\[version]\modules\discord_desktop_core\index.js.

Adnotacja 2019 10 24 141323
Zmodyfikowano plik Discord index.js

Następnie szkodliwe oprogramowanie zakończy działanie i ponownie uruchomi aplikację Discord, aby wprowadzić nowe zmiany w JavaScript. Po uruchomieniu JavaScript wykonuje różne polecenia API Discord i funkcje w celu zebrania różnych informacji o użytkowniku, które są następnie wysyłane za pośrednictwem webhook w Discord do atakującego.

Commands
Wykonywanie poleceń

Informacje, które są gromadzone i wysyłane do atakującego obejmują:
  • Token użytkownika Discord
  • Strefa czasowa ofiary
  • Rozdzielczość ekranu
  • Lokalny adres IP ofiary
  • Publiczny adres IP ofiary za pośrednictwem WebRTC
  • Informacje o użytkowniku, takie jak nazwa użytkownika, adres e-mail, numer telefonu i inne
  • Czy przechowują informacje o płatności
  • Współczynnik powiększenia
  • Agent użytkownika przeglądarki
  • Wersja Discord
  • Pierwsze 50 znaków schowka Windows ofiary
Zawartość schowka jest szczególnie niepokojąca, ponieważ może pozwolić użytkownikowi na kradzież haseł, danych osobowych lub innych poufnych danych, które zostały skopiowane przez użytkownika. Po wysłaniu informacji złośliwe oprogramowanie Discord uruchomi funkcję fightdio(), która działa jak backdoor. Ta funkcja połączy się ze zdalną witryną, aby otrzymać dodatkowe polecenie do wykonania. Dzięki temu atakujący może wykonywać inne złośliwe działania, takie jak kradzież informacji o płatności, jeśli taka istnieje, wykonywanie poleceń na komputerze lub potencjalne instalowanie kolejnego złośliwego oprogramowania. Fight Dio Function Komponent backdoor

Badacz i inżynier Vitali Kremez, który również przeanalizował złośliwe oprogramowanie, powiedział BleepingComputer, że infekcja została zauważona przy użyciu nazw plików takich jak "Blueface Reward Claimer.exe" i "Synapse X.exe". Chociaż nie jest w 100% pewne, w jaki sposób jest rozprzestrzeniany, Kremez uważa, że atakujący używa wiadomości Discord do rozprzestrzeniania złośliwego oprogramowania.

Ponieważ po instalacji malware nie zdradza wprost swojej obecności i jej działanie nie wskazuje na to, że maszyna została zainfekowana, użytkownik nie będzie miał pojęcia, że jest zagrożony, chyba że wykona analizę ruchu sieciowego i zobaczy niezwykłe wywołania API i przechwytywanie stron internetowych.

Jeśli instalator zostanie wykryty i usunięty, zmodyfikowane pliki Discord nadal będą zainfekowane i będą wykonywane przy każdym uruchomieniu klienta. Jedynym sposobem na usunięcie infekcji jest odinstalowanie aplikacji Discord i jej ponowna instalacja w celu usunięcia zmodyfikowanych plików.

Co gorsza, według VirusTotal po ponad dwóch tygodniach złośliwe oprogramowanie Discord wykrywane jest tylko na 24 z 65 skanerów.