Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Cybercrime Envicom todayoktober 24, 2019 12

Background
share close

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie.

De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt bij het beginnen kwaadaardig gedrag uitvoert.

Ontdekt door onderzoeker MalwareHunterTeam eerder deze maand, deze malware wordt “Spidey Bot” genoemd en zal na installatie zijn eigen schadelijke JavaScript toevoegen aan de % AppData% \ Discord \ [versie] \ modules \ discord_modules \ index.js en % AppData% \ Discord \ [versie] \ modules \ discord_desktop_core \ index.js- bestanden.

Gewijzigd Discord index.js bestand

De malware wordt dan beëindigd en de Discord App opnieuw gestart om de nieuwe JavaScript Wijzigingen uit te voeren.

Eenmaal gestart, voert JavaScript verschillende Discord API Opdrachten en JavaScript Functies uit om een ​​verscheidenheid aan informatie over de gebruiker te verzamelen die vervolgens via een Discord Webhook naar de aanvaller wordt verzonden.

Commando’s uitvoeren

De informatie die wordt verzameld en verzonden naar de aanvaller omvat:

  • Discord gebruiker token
  • Tijdzone slachtoffer
  • Schermresolutie
  • Slachtoffer’s lokaal IP-adres
  • Slachtoffer’s openbare IP-adres via WebRTC
  • Gebruikersinformatie zoals gebruikersnaam, e-mailadres, telefoonnummer en meer
  • Of ze betalingsinformatie hebben opgeslagen
  • Zoomfactor
  • Browser user agent
  • Discord-versie
  • De eerste 50 tekens van het Windows-klembord van de slachtoffers

De inhoud van het klembord is vooral zorgwekkend, omdat de gebruiker dan wachtwoorden, persoonlijke informatie of andere gevoelige gegevens kan stelen die door de gebruiker zijn gekopieerd.

Nadat de informatie is verzonden, voert de Discord Malware de functie fightdio () uit, die als achterdeur optreed.

Deze functie maakt verbinding met een externe site om een ​​extra opdracht te ontvangen. Hierdoor kan de aanvaller andere schadelijke activiteiten uitvoeren, zoals het stelen van betalingsinformatie als deze bestaat, opdrachten op de computer uitvoeren of potentieel nieuwe malware installeren.

De achterdeur component

Onderzoeker en Reverse Engineer Vitali Kremez, die ook de malware analyseerde, vertelde Envicom dat de infectie is waargenomen met bestandsnamen zoals “Blueface Reward Claimer.exe” en “Synapse X.exe”. Maar toch het niet 100% zeker is hoe het wordt verspreid, vindt Kremez dat de aanvaller Discord Berichten gebruikt om de malware te verspreiden.

Omdat deze infectie geen uiterlijke aanwijzing vertoont dat deze is gecompromitteerd, heeft een gebruiker geen idee dat ze zijn geïnfecteerd, maar niet als ze netwerk snuffelen en de ongebruikelijke API- en web Hook Oproepen zien.

Als het installatieprogramma wordt gedetecteerd en verwijderd, blijven de gewijzigde Discord Bestanden nog steeds geïnfecteerd en worden ze uitgevoerd telkens wanneer u de client start. De enige manier om de infectie op te ruimen, is door de Discord App te verwijderen en opnieuw te installeren, zodat de gewijzigde bestanden worden verwijderd.

Erger nog, na meer dan twee weken heeft deze Discord Malware nog steeds alleen 24/65 detecties op VirusTotal.

Written by: Envicom

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *