Informationssikkerhed specialist MalwareHunterTeam opdaget den Spidey Bot malware, der forvandler Discord til Windows i en bagdør og et værktøj til spionage og stjæle oplysninger.
siden Discord er et Electron ansøgning, næsten alle dens funktionalitet er baseret på HTML, CSS og JavaScript, som muligt for hackere at ændre nøglefiler og tvinger kunden til at engagere sig i ondsindet aktivitet."Ordsprog “Discord malware”, Jeg mener en malware, der er vil arbejde fra indersiden af installerede Discord klient (skriver .js filer i Discord mappen AppData, som vil blive belastet af Discord klient)”, - skriver @malwrhunterteam.
Under installationen, Spidey Bot tilføjer ondsindet JavaScript til% AppData% Discord [Version]\moduler discord_modules index.js og% AppData% Discord [Version]\moduler discord_desktop_core index.js filer. Så malware vil lukke ned Discord og genstarte programmet for at ændringerne kan træde i kraft.
Læs også: Forskere fundet sårbarheder i eRosary smarte rosenkranse fra Vatikanets udviklere
Når lanceret, ondsindet JavaScript vil bruge forskellige uenighed API kommandoer og JavaScript-funktioner til at indsamle brugeroplysninger, som derefter vil blive videregivet til angriberen gennem Discord web krog. Blandt disse data vil være:
- Discord bruger token;
- ofrets tidszone;
- skærmopløsning;
- lokale IP-adresse;
- offentlige IP-adresse (WebRTC);
- Bruger information, herunder brugernavn, email adresse, telefonnummer, og så videre;
- data om, hvorvidt offeret gemmer betalingsoplysninger;
- browser bruger agent;
- Discord-version
- den første 50 figurer fra ofrets udklipsholderen.
Efter fremsendelse af disse oplysninger til dets operatører, malwaren vil udføre fightdio()fungere, der virker som en bagdør. Denne funktion skal bruges til at oprette forbindelse til et fjernt sted og vente på yderligere kommandoer.
Dette vil tillade en hacker at udføre andre ondsindede handlinger, herunder tyveri af betalingsoplysninger, udførelse af kommandoer på ofrets maskine, og installere anden malware.
Et andet velkendt informationssikkerheden ekspert, Vitaliy Kremez, også studeret en ny malware og rapporter, der i løbet af infektionen bruges filer med navne som Blueface Reward Claimer.exe og Synapse X.exe. Selvom forskeren ikke er helt sikker på, hvordan det Spidey Bot fordeles, han mener, at angriberne bruge de sædvanlige beskeder i Discord at sprede trussel.
”Sådanne angreb er farlige, fordi de ikke viser nogen ydre tegn på kompromis. Mistænkelig aktivitet kan kun påvises ved påvisning af mærkelige API-kald og web kroge. Værre endnu, defensive løsninger hidtil er dårligt afsløre denne malware”, – siger analytikere.
Derfor, Ifølge VirusTotal, kun 38 ud af 68 antivirus produkter er i stand til at spotte Spidey Bot.
Discord er en gratis instant messenger med understøttelse af VoIP og videokonferencer, oprindeligt rettet mod brugere af computerspil.
