Malware blir Splid messenger inn bakdør og krefter for å stjele data

Informasjonssikkerhet spesialist MalwareHunterTeam oppdaget den Spidey Bot malware, som slår Discord for Windows inn en bakdør og et verktøy for å spionere og stjele informasjon.

Siden Discord er et Electron søknad, nesten all funksjonaliteten er basert på HTML, CSS og Javascript, som gjør at hackere kan endre nøkkelfiler og tvinger kunden til å engasjere seg i ondsinnet aktivitet.

"Ordtak “splid malware”, Jeg mener en malware som vil jobbe fra innsiden av installert splid klient (skriver JS-filer i splid AppData mappen, som vil bli lastet ved splid klient)”, - skriver @malwrhunterteam.

under installasjon, Spidey Bot legger ondsinnet Javascript til% AppData% Splid [Versjon]\Modulene discord_modules index.js og% AppData% splid[Versjon]\moduler discord_desktop_core index.js filer. Da malware vil stenge ned Splid og starte programmet på nytt for at endringene skal tre i kraft.

Les også: Forskere funnet svakheter i eRosary smart kranser fra Vatikanet utviklere

gang lansert, ondsinnet Javascript vil bruke ulike splid API-kommandoer og Javascript-funksjoner for å samle brukerinformasjon, som så føres til angripe gjennom splid nettet kroken. Blant disse dataene vil være:

  • Splid bruker token;
  • offerets tidssone;
  • skjermoppløsning;
  • lokal IP-adresse;
  • offentlig IP-adresse (WebRTC);
  • Brukerinformasjon, inkludert brukernavn, epostadresse, telefonnummer, og så videre;
  • data om offeret lagrer betalingsinformasjon;
  • leseren bruker agent;
  • splid versjon
  • den første 50 tegn fra offerets utklippstavlen.

Etter å overføre denne informasjonen til sine operatører, malware skal utføre fightdio()funksjon, som virker som en bakdør. Denne funksjonen skal brukes til å koble til en ekstern side og vente på flere kommandoer.

Dette vil tillate en angriper å utføre andre ondsinnede handlinger, herunder tyveri av betalingsinformasjon, utføre kommandoer på offerets maskin, og installere annen skadelig programvare.

En annen velkjent informasjonssikkerhet ekspert, Vitaliy Kremez, Også studerte en ny malware og rapporterer at i løpet av infeksjonen blir brukt filer med navn som Blueface Belønning Claimer.exe og Synapse X.exe. Selv om forskeren er ikke helt sikker på hvordan Spidey Bot er fordelt, han mener at angripere bruker de vanlige meldinger i Splid å spre trusselen.

“Slike angrep er farlige fordi de ikke viser noen ytre tegn på kompromiss. Mistenkelig aktivitet bare kan påvises ved å detektere merkelige API-anrop og nett kroker. Enda verre, defensive løsninger så langt er dårlig oppdage denne malware”, – sier analytikere.

Derfor, I følge Virustotal, bare 38 ut av 68 antivirus-produkter er i stand til å oppdage Spidey Bot.

Henvisning:

splid er en gratis instant messenger med støtte for VoIP og videokonferanse, utgangspunktet rettet mot brukere av dataspill.

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen