Información especialista en seguridad MalwareHunterTeam descubierto el malware Bot Spidey, que convierte la discordia para Windows en una puerta trasera y una herramienta para espiar y robar la información.
Sesde la discordia es una aplicación de electrones, casi toda su funcionalidad se basa en HTML, CSS y JavaScript, que permite a atacantes para modificar los archivos de claves y forzar al cliente a participar en actividades maliciosas."Diciendo “el malware discordia”, Me refiero a un malware que se va a trabajar desde el interior del cliente instalado discordia (escribe los archivos .js en la carpeta AppData discordia, que será cargado por el cliente Discord)”, - escribe @malwrhunterteam.
Durante la instalación, Spidey Bot añade JavaScript malicioso para el% AppData% discordia [Versión]\modules discord_modules AppData% y index.js% discordia[Versión]\modules archivos discord_desktop_core index.js. A continuación, el programa malicioso se apagará la discordia y reiniciar el programa para que los cambios surtan efecto.
leer también: Los investigadores encontraron vulnerabilidades en eRosary rosarios inteligentes de los desarrolladores del Vaticano
Una vez puesto en marcha, JavaScript malicioso utilizará varios comandos API discordia y funciones de JavaScript para recoger información de los usuarios, que luego se pasa a la atacante a través del gancho web Discord. Entre estos datos será:
- token de usuario discordia;
- zona horaria de la víctima;
- resolución de la pantalla;
- dirección IP local;
- dirección IP pública (WebRTC);
- Informacion del usuario, incluyendo nombre de usuario, dirección de correo electrónico, número de teléfono, y así;
- datos sobre si la víctima almacena la información de pago;
- agente de usuario del navegador;
- versión de la discordia
- el primero 50 personajes desde el portapapeles de la víctima.
Después de transmitir esta información a sus operadores, el malware llevará a cabo la fightdio()función, que actúa como una puerta trasera. Esta función se utiliza para conectarse a un sitio remoto y esperar a que los comandos adicionales.
Esto permitirá a un atacante realizar otras acciones maliciosas, incluyendo el robo de información de pago, la ejecución de comandos en la máquina de la víctima, y la instalación de otros programas maliciosos.
Otro conocido experto en seguridad de la información, Vitaliy Kremez, también estudió un nuevo malware y los informes de que durante la infección se utilizan archivos con nombres como Blueface Recompensa Claimer.exe y Synapse x.exe. A pesar de que el investigador no está completamente seguro de cómo se distribuye el Bot Spidey, cree que los atacantes utilizan los mensajes habituales en discordia para difundir la amenaza.
“Este tipo de ataques son peligrosos porque no muestran signos externos de compromiso. actividad sospechosa sólo puede detectarse mediante la detección de llamadas a la API extrañas y ganchos web. Peor aún, soluciones defensivas hasta ahora son poco detección de este malware”, – dicen los analistas.
Por lo tanto, De acuerdo a VirusTotal, solamente 38 fuera de 68 productos antivirus son capaces de detectar Spidey Bot.
Discordia es un programa de mensajería instantánea gratuito con soporte para VoIP y videoconferencia, Inicialmente dirigida a los usuarios de juegos de ordenador.
