Malware wordt Onenigheid messenger in achterdeur en krachten om gegevens te stelen

Informatiebeveiliging specialist MalwareHunterTeam ontdekt de Spidey Bot malware, die Onenigheid draait voor Windows in een achterdeur en een hulpmiddel voor spionage en het stelen van informatie.

Sinds Onenigheid is een Electron applicatie, bijna al haar functionaliteit is gebaseerd op HTML, CSS en JavaScript, waardoor aanvallers om belangrijke bestanden aan te passen en de klant te dwingen deel te nemen aan kwaadaardige activiteiten.

"Gezegde “onenigheid malware”, Ik bedoel een malware die zal werken vanuit de geïnstalleerde Onenigheid client (schrijft .js bestanden in de map Onenigheid AppData, die wordt geladen door Discord client)”, - schrijft @malwrhunterteam.

Tijdens de installatie, Spidey Bot voegt kwaadaardige JavaScript naar de map% AppData% Onenigheid [Versie]\modules discord_modules index.js en% AppData% Discord [Versie]\modules discord_desktop_core index.js bestanden. Dan zal de malware stilgelegd Onenigheid en het programma voor de wijzigingen door te voeren opnieuw op te starten.

Lees ook: Onderzoekers vinden kwetsbaarheden in eRosary smart rozenkransen van Vaticaanstad ontwikkelaars

eenmaal gelanceerd, kwaadaardige JavaScript zullen verschillende Onenigheid API commando's en JavaScript-functies gebruiken om de gebruiker informatie te verzamelen, die vervolgens naar de aanvaller wordt gevoerd door de Discord baan hook. Onder deze gegevens zullen worden:

  • Onenigheid gebruiker token;
  • slachtoffer tijdzone;
  • schermresolutie;
  • lokale IP-adres;
  • openbare IP-adres (WebRTC);
  • Gebruikers informatie, inclusief gebruikersnaam, e-mailadres, telefoonnummer, enzovoorts;
  • gegevens over de vraag of het slachtoffer slaat betalingsinformatie;
  • browser user agent;
  • onenigheid versie
  • de eerste 50 personages uit het klembord van het slachtoffer.

Na het verzenden van deze informatie aan de exploitanten, de malware zal de fightdio uitvoeren()functie, die als achterdeur. Deze functie zal worden gebruikt om verbinding te maken met een externe site en wacht tot extra opdrachten.

Hierdoor kan een aanvaller andere kwaadaardige acties uit te voeren, met inbegrip van diefstal van betalingsinformatie, opdrachten uit te voeren op de computer van het slachtoffer, en het installeren van andere malware.

Een andere bekende informatie security expert, vitaliy Kremez, Ook bestudeerd een nieuwe malware en rapporten die tijdens de infectie worden gebruikt bestanden met namen zoals Blueface Beloning Claimer.exe en Synapse x.exe. Hoewel de onderzoeker is niet helemaal zeker hoe het Spidey Bot wordt verdeeld, hij gelooft dat aanvallers gebruik maken van de gebruikelijke berichten in Onenigheid om de dreiging te verspreiden.

“Dergelijke aanvallen zijn gevaarlijk omdat ze geen uiterlijke tekenen van een compromis te tonen. Verdachte activiteit kan alleen worden gedetecteerd door het detecteren van vreemde API calls en web haken. Nog erger, defensieve oplossingen die tot dusverre zijn slecht opsporen van deze malware”, – zeggen analisten.

daarom, Volgens VirusTotal, enkel en alleen 38 van 68 antivirusproducten kunnen herkennen Spidey Bot.

Referentie:

Onenigheid is een gratis instant messenger met ondersteuning voor VoIP en videoconferencing, in eerste instantie gericht op gebruikers van computerspellen.

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop