Nowe złośliwe oprogramowanie atakuje użytkowników Discord, modyfikując klienta Windows Discord, tak aby przekształcił się w backdoora i trojana kradnącego informacje. Klient Windows Discord to aplikacja oparta o platformę programistyczną Electron, co oznacza, że prawie cała jej funkcjonalność pochodzi z HTML, CSS i JavaScript. Dzięki temu złośliwe oprogramowanie może modyfikować podstawowe pliki.
Złośliwe oprogramowanie, wykryte przez badaczy z MalwareHunterTeam na początku tego miesiąca, nazywa się "Spidey Bot". Po instalacji na komputerze ofiary dodaje własny złośliwy kod JavaScript do plików %AppData%\Discord\[version]\modules\discord_modules\index.js oraz %AppData%\Discord\[version]\modules\discord_desktop_core\index.js.
Zmodyfikowano plik Discord index.js
Następnie szkodliwe oprogramowanie zakończy działanie i ponownie uruchomi aplikację Discord, aby wprowadzić nowe zmiany w JavaScript. Po uruchomieniu JavaScript wykonuje różne polecenia API Discord i funkcje w celu zebrania różnych informacji o użytkowniku, które są następnie wysyłane za pośrednictwem webhook w Discord do atakującego.
Wykonywanie poleceń
Informacje, które są gromadzone i wysyłane do atakującego obejmują:
Token użytkownika Discord
Strefa czasowa ofiary
Rozdzielczość ekranu
Lokalny adres IP ofiary
Publiczny adres IP ofiary za pośrednictwem WebRTC
Informacje o użytkowniku, takie jak nazwa użytkownika, adres e-mail, numer telefonu i inne
Czy przechowują informacje o płatności
Współczynnik powiększenia
Agent użytkownika przeglądarki
Wersja Discord
Pierwsze 50 znaków schowka Windows ofiary
Zawartość schowka jest szczególnie niepokojąca, ponieważ może pozwolić użytkownikowi na kradzież haseł, danych osobowych lub innych poufnych danych, które zostały skopiowane przez użytkownika. Po wysłaniu informacji złośliwe oprogramowanie Discord uruchomi funkcję fightdio(), która działa jak backdoor. Ta funkcja połączy się ze zdalną witryną, aby otrzymać dodatkowe polecenie do wykonania. Dzięki temu atakujący może wykonywać inne złośliwe działania, takie jak kradzież informacji o płatności, jeśli taka istnieje, wykonywanie poleceń na komputerze lub potencjalne instalowanie kolejnego złośliwego oprogramowania. Komponent backdoor
Badacz i inżynier Vitali Kremez, który również przeanalizował złośliwe oprogramowanie, powiedział BleepingComputer, że infekcja została zauważona przy użyciu nazw plików takich jak "Blueface Reward Claimer.exe" i "Synapse X.exe". Chociaż nie jest w 100% pewne, w jaki sposób jest rozprzestrzeniany, Kremez uważa, że atakujący używa wiadomości Discord do rozprzestrzeniania złośliwego oprogramowania.
Ponieważ po instalacji malware nie zdradza wprost swojej obecności i jej działanie nie wskazuje na to, że maszyna została zainfekowana, użytkownik nie będzie miał pojęcia, że jest zagrożony, chyba że wykona analizę ruchu sieciowego i zobaczy niezwykłe wywołania API i przechwytywanie stron internetowych.
Jeśli instalator zostanie wykryty i usunięty, zmodyfikowane pliki Discord nadal będą zainfekowane i będą wykonywane przy każdym uruchomieniu klienta. Jedynym sposobem na usunięcie infekcji jest odinstalowanie aplikacji Discord i jej ponowna instalacja w celu usunięcia zmodyfikowanych plików.
Komputery
