Puerta trasera que roba información para malware nuevo

Nuevo Malware: Un nuevo tipo está dirigido a los usuarios de Discord, modificando el cliente de Windows Discord, para que se transforme en una puerta trasera y un troyano que roba información.

El cliente de Windows Discord es una aplicación de Electron, lo que significa que casi toda su funcionalidad se deriva de HTML, CSS y JavaScript. "Esto permite que el malware modifique sus archivos principales para que el cliente realice un comportamiento malicioso al inicio".

Descubierto por el investigador Equipo de cazadores de malware A principios de este mes, el malware - puerta trasera se llama "Spidey Bot.", basado en el nombre del canal de comando y control de Discord con el que se comunicaba el "malware". Es interesante ver en el artículo a continuación un comentario que, sin embargo, afirma que su nombre real es "BlueFace".

Cuando se instala, el malware agrega su propio JavaScript malicioso a los archivos % AppData% \ Discord \ [versión] \ modules \ discord_modules \ index.js y % AppData% \ Discord \ [versión] \ modules \ discord_desktop_core \ index.js.

pantalla de puerta trasera
Archivo index.js de Discord modificado

El malware de puerta trasera terminará y reiniciará la aplicación Discord para que surtan efecto los nuevos cambios de JavaScript.

Una vez iniciado, JavaScript ejecutará varios comandos de la API de Discord y funciones de JavaScript para recopilar una variedad de información del usuario que se enviará a través de un webhook de Discord al atacante.

Nuevo malware: información recopilada

La información recopilada y enviada al atacante incluye:

  • Token de usuario en desacuerdo
  • Zona horaria de la víctima
  • Resolución de la pantalla
  • Dirección IP local de la víctima
  • Dirección IP pública de la víctima a través de WebRTC
  • Información del usuario, como nombre de usuario, dirección de correo electrónico, número de teléfono y más
  • Si almacenaron información de pago
  • Factor de zoom
  • Agente de usuario del navegador
  • Versión de discordia
  • Los primeros 50 caracteres de las víctimas del portapapeles de Windows

El contenido del portapapeles es de particular interés, ya que puede permitir al usuario robar contraseñas, información personal u otros datos confidenciales que hayan sido copiados por el usuario.

La función Gightdio que actúa como puerta trasera en el nuevo malware

Después de enviar la información, el malware Discord ejecutará la función fightdio (), que actúa como una puerta trasera.

Esta función se conectará a un sitio remoto para recibir un comando adicional para ejecutar. Esto permite al atacante realizar otras actividades maliciosas, como robar información de pago, si corresponde, ejecutar comandos en la computadora o potencialmente instalar otro 'malware'.

El sitio anterior está inactivo actualmente, pero no se sabe si una muestra diferente usa un sitio diferente o no. Además, un comentarista a continuación afirma que el 'malware' se ha descontinuado, pero no tenemos forma de confirmarlo.

El investigador e ingeniero inverso Vitali Kremez, que también analizó el malware, le dijo a BleepingComputer que la infección se detectó con nombres de archivo como "Blueface Reward Claimer.exe" y "Synapse X.exe". Aunque no está 100% seguro de cómo se está propagando, Kremez siente que el atacante está usando mensajes de Discord para difundir el malware.

Dado que esta infección no muestra ninguna indicación externa de que se haya visto comprometida, un usuario no tiene idea de que está infectado, a menos que realice una detección de red y vea llamadas de API inusuales y llamadas de enlace web.

Si se detecta y elimina el instalador, los archivos de Discord modificados seguirán estando infectados y seguirán ejecutándose cada vez que inicie el cliente. La única forma de limpiar la infección es desinstalar la aplicación Discord y volver a instalarla para eliminar los archivos modificados.

Peor aún, después de más de dos semanas, este malware Discord todavía tiene solo 24/65 detecciones en VirusTotal.

Cómo comprobar si está infectado con nuevo malware

Verificar si su cliente de Discord ha sido modificado es muy fácil, ya que los archivos de destino generalmente tienen solo una línea de código.

Para verificar el % AppData% \ Discord \ [versión] \ modules \ discord_modules \ index.js, simplemente ábralo en el Bloc de notas y debe contener solo la línea “module.exports = require ('./ discord_modules.node'); "Como se muestra abajo.

Para el archivo % AppData% \ Discord \ [versión] \ modules \ discord_desktop_core \ index.js, debe contener solo "module.exports = require ('./ core.asar');" Como se muestra abajo.

Si uno de los dos archivos contiene un código diferente al que se muestra arriba, desinstale y vuelva a instalar el cliente de Discord y confirme que las modificaciones se hayan eliminado.

Sin embargo, es importante recordar que otro malware puede modificar fácilmente otros archivos JavaScript utilizados por el cliente de Discord, por lo que estas instrucciones son solo para ese malware específico.

Cómo Discord puede protegerte de las amenazas de malware

Después de publicar este artículo, recibimos muchas preguntas sobre cómo Discord puede alertar a los usuarios sobre cambios en el cliente.

Discord puede hacer esto creando un hash para cada archivo de cliente cuando se lanza una nueva versión. Después de la instalación, si se modifica el archivo, se cambiará ese hash.

Cuando se inicia el cliente de Discord, puede realizar una verificación de integridad del archivo y verificar que los hash del archivo actual coincidan con los hash estándar del cliente de Discord. Si son diferentes, este archivo se ha modificado y la aplicación puede mostrar una advertencia, como el modelo que creamos a continuación, que permite al usuario continuar cargando el cliente o cancelarlo.

https://forti1.com/phishing-cuidado-nova-versao/

Esta verificación debe realizarse utilizando código nativo en lugar de otro archivo JavaScript, que se puede modificar fácilmente.

Actualización 24/10/19: Se agregaron secciones sobre cómo verificar si los archivos JS especificados se han modificado y cómo Discord puede monitorear este tipo de modificaciones.

Actualización 24/10/19 5:25 p.m. EST: Se agregó información sobre la muerte del C2, que el nombre real de esta infección puede ser BlueFace y que se dice que el malware está descontinuado.

Por Lawrence Abrams

Fuente: //www.bleepingcomputer.com
ES
Ir arriba