Издание Bleeping Computer сообщило о появлении новой малвари, которая эксплуатирует легитимный клиент Discord. ИБ-специалист MalwareHunterTeam обнаружил малварь Spidey Bot, которая превращает Discord для Windows в средство для шпионажа и кражи информации.
Так как Discord является Electron-приложением, почти вся его функциональность основана на HTML, CSS и JavaScript, что позволяет злоумышленникам модифицировать ключевые файлы и вынудить клиента заниматься вредоносной активностью.
Во время установки Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%\Discord\[version]\modules\discord_modules\index.js и %AppData%\Discord\[version]\modules\discord_desktop_core\index.js. Затем вредонос завершит работу Discord и перезапустит программу для вступления изменений в силу.
После запуска вредоносный JavaScript будет использовать различные команды Discord API и функции JavaScript для сбора информации о пользователе, которая затем будет передана злоумышленнику через веб-хук Discord. В числе этих данных будут:
- Discord-токен пользователя;
- часовой пояс жертвы;
- разрешение экрана;
- локальный IP-адрес;
- публичный IP-адрес (WebRTC);
- информация о пользователе, в том числе имя пользователя, адрес электронной почты, номер телефона и так далее;
- данные о том, хранит ли жертва платежную информацию;
- user agent браузера;
- версия Discord;
- первые 50 символов из буфера обмена жертвы.
После передачи этой информации своим операторам малварь выполнит функцию fightdio(), которая действует как бэкдор. Данная функция будет использоваться для подключения к удаленному сайту и ожидания дополнительных команд. Это позволит злоумышленнику выполнять другие вредоносные действия, включая кражу платежной информации, выполнение команд на машине жертвы и установку другого вредоносного ПО.
Еще один известный ИБ-эксперт Виталий Кремез тоже изучил новую малварь и сообщает, что в ходе заражения используются файлы с такими именами, как Blueface Reward Claimer.exe и Synapse X.exe. И хотя исследователь не уверен до конца, как именно распространяется Spidey Bot, он полагает, что злоумышленники используют обычные сообщения в Discord для распространения угрозы
Аналитики отмечают, что подобные атаки опасны тем, что не демонстрируют никаких внешних признаков компрометации. Заметить подозрительную активность можно лишь обнаружив странные вызовы API и веб-хуков. Хуже того, защитные решения пока плохо обнаруживают эту малварь. Так, согласно VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.