Malware dreht Discord messenger in Backdoor und Kräfte Daten zu stehlen

Spezialist für Informationssicherheit MalwareHunterTeam entdeckt die Spidey Bot Malware, was dreht Discord für Windows in eine Backdoor und ein Werkzeug für Spionage und Informationen zu stehlen.

Seit Discord ist eine Electron Anwendung, fast alle seine Funktionalität basiert auf HTML, CSS und JavaScript, die ermöglichen es Angreifer Schlüsseldateien zu ändern und den Client zu zwingen, in bösartigen Aktivitäten zu engagieren.

"Sprichwort “Discord Malware”, Ich meine eine Malware, die aus dem Inneren des installierten Discord-Client arbeiten, ist (schreibt Js Dateien im Discord AppData-Ordner, die werden von Discord Client geladen werden)“, - schreibt @malwrhunterteam.

Während der Installation, Spidey Bot fügt bösartigen JavaScript in das Verzeichnis% AppData% Discord [Ausführung]\Module discord_modules index.js und% AppData% Discord [Ausführung]\Module discord_desktop_core index.js Dateien. Dann wird der Malware Discord heruntergefahren und das Programm neu starten, damit die Änderungen wirksam werden.

lesen Sie auch: Forscher fanden heraus, Schwachstellen in eRosary Smart Rosenkranz von Vatikan-Entwickler

einmal gestartet, bösartige JavaScript werden verschiedene Discord API-Befehle und JavaScript-Funktionen verwenden, um Benutzerinformationen zu sammeln, die dann an den Angreifer durch den Web-hook Discord weitergegeben. Unter diesen Daten werden:

  • Discord Benutzertoken;
  • Opfer der Zeitzone;
  • Bildschirmauflösung;
  • lokale IP-Adresse;
  • öffentliche IP-Adresse (WebRTC);
  • Nutzerinformation, einschließlich Benutzername, E-Mail-Addresse, Telefonnummer, und so weiter;
  • Daten darüber, ob das Opfer Zahlungsinformation speichert;
  • Browser-User-Agent;
  • Discord Version
  • Der Erste 50 Zeichen aus der Zwischenablage des Opfers.

Nachdem diese Informationen an ihre Betreiber zu übertragen, die Malware die fightdio ausführen()Funktion, die wirkt als Hintertür. Diese Funktion wird verwendet, um einen entfernten Standort zu verbinden und für zusätzliche Befehle warten.

Dadurch wird es einem Angreifer ermöglichen andere bösartige Aktionen auszuführen, einschließlich Diebstahl von Zahlungsinformationen, Ausführen von Befehlen auf dem Computer des Opfers, und Installieren anderer Malware.

Eine weitere bekannte Informationen Sicherheitsexperte, vitaliy Kremez, Ebenfalls studierte eine neue Malware und berichtet, dass während der Infektion von Dateien mit Namen wie Blueface Belohnung Claimer.exe und Synapse x.exe verwendet. Obwohl die Forscher nicht ganz sicher ist, wie die Spidey Bot verteilt, er glaubt, dass Angreifer die üblichen Nachrichten in Discord verwenden, um die Bedrohung zu verbreiten.

„Solche Angriffe sind gefährlich, weil sie zeigen keine äußeren Zeichen des Kompromisses. Verdächtige Aktivität kann nur durch Erfassen seltsame API Anrufe und Web Haken erfasst werden. Noch schlimmer, defensive Lösungen sind bisher schlecht diese Malware“Erkennung, – Analysten sagen,.

Deshalb, Gemäß Virustotal, nur 38 aus 68 Anti-Virus-Produkte sind in der Lage Spidey Bot zu beschmutzen.

Referenz:

Zwietracht mit Unterstützung ist ein kostenloser Instant-Messenger für VoIP und Videokonferenzen, zunächst an Anwender von Computerspielen ausgerichtet.

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"