Издание Bleeping Computer сообщило о появлении новой малвари, которая эксплуатирует легитимный клиент Discord. ИБ-специалист MalwareHunterTeam обнаружил малварь Spidey Bot, которая превращает Discord для Windows в средство для шпионажа и кражи информации.

Так как Discord является Electron-приложением, почти вся его функциональность основана на HTML, CSS и JavaScript, что позволяет злоумышленникам модифицировать ключевые файлы и вынудить клиента заниматься вредоносной активностью.

Во время установки Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%\Discord\[version]\modules\discord_modules\index.js и %AppData%\Discord\[version]\modules\discord_desktop_core\index.js. Затем вредонос завершит работу Discord и перезапустит программу для вступления изменений в силу.

Измененный index.js

После запуска вредоносный JavaScript будет использовать различные команды Discord API и функции JavaScript для сбора информации о пользователе, которая затем будет передана злоумышленнику через веб-хук Discord. В числе этих данных будут:

  • Discord-токен пользователя;
  • часовой пояс жертвы;
  • разрешение экрана;
  • локальный IP-адрес;
  • публичный IP-адрес (WebRTC);
  • информация о пользователе, в том числе имя пользователя, адрес электронной почты, номер телефона и так далее;
  • данные о том, хранит ли жертва платежную информацию;
  • user agent браузера;
  • версия Discord;
  • первые 50 символов из буфера обмена жертвы.

После передачи этой информации своим операторам малварь выполнит функцию fightdio(), которая действует как бэкдор. Данная функция будет использоваться для подключения к удаленному сайту и ожидания дополнительных команд. Это позволит злоумышленнику выполнять другие вредоносные действия, включая кражу платежной информации, выполнение команд на машине жертвы и установку другого вредоносного ПО.

Еще один известный ИБ-эксперт Виталий Кремез тоже изучил новую малварь и сообщает, что в ходе заражения используются файлы с такими именами, как Blueface Reward Claimer.exe и Synapse X.exe. И хотя исследователь не уверен до конца, как именно распространяется Spidey Bot, он полагает, что злоумышленники используют обычные сообщения в Discord для распространения угрозы

Аналитики отмечают, что подобные атаки опасны тем, что не демонстрируют никаких внешних признаков компрометации. Заметить подозрительную активность можно лишь обнаружив странные вызовы API и веб-хуков. Хуже того, защитные решения пока плохо обнаруживают эту малварь. Так, согласно VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.

Оставить мнение