{"id":6298,"date":"2019-10-29T09:02:16","date_gmt":"2019-10-29T12:02:16","guid":{"rendered":"https:\/\/forti1.com\/?p=6298"},"modified":"2023-02-06T22:29:56","modified_gmt":"2023-02-06T22:29:56","slug":"malware-que-rouba-informacoes","status":"publish","type":"post","link":"https:\/\/forti1.com\/es\/informacion-de-robo-de-malware\/","title":{"rendered":"Puerta trasera para robar informaci\u00f3n"},"content":{"rendered":"<p>Backdoor de robo de informaci\u00f3n por un nuevo malware: un nuevo tipo se dirige a los usuarios de Discord, modificando el cliente Discord de Windows para transformarlo en un backdoor y un troyano de robo de informaci\u00f3n.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Resumen<\/h2><nav><div><div><a href=\"#java-script-malicioso\">JavaScript malicioso<\/a><\/div><div><a href=\"#novo-malware-informacoes-coletadas\">Nuevo malware: informaci\u00f3n recogida<\/a><\/div><div><a href=\"#a-funcao-gightdio\">La funci\u00f3n Gightdio<\/a><\/div><div><a href=\"#mensagens-do-discord\">Mensajes de discordia<\/a><\/div><div><a href=\"#como-verificar-se-voce-esta-infectado-pelo-novo-malware\">C\u00f3mo comprobar si est\u00e1 infectado por el nuevo malware<\/a><\/div><div><a href=\"#como-o-discord-pode-proteger\">C\u00f3mo puede proteger la Discordia<\/a><\/div><\/div><\/nav><\/div>\n\n\n\n<p>El cliente Discord de Windows es una aplicaci\u00f3n Electron, lo que significa que casi toda su funcionalidad deriva de HTML, CSS y JavaScript. \"Esto permite al malware modificar sus archivos principales para que el cliente realice un comportamiento malicioso al iniciarse\".<\/p>\n\n\n\n<p>Descubierto por el investigador <a aria-label=\" (se abre en una nueva pesta\u00f1a)\" class=\"rank-math-link\" href=\"http:\/\/malwarehunterteam.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">Equipo Malware Hunter<\/a> a principios de este mes, el malware - backdoor se llama \"Spidey Bot\", bas\u00e1ndose en el nombre del canal de mando y control de Discord con el que se comunicaba el 'malware'. Curiosamente, en el siguiente art\u00edculo hay un comentario que, sin embargo, afirma que su verdadero nombre es \"BlueFace\".<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"java-script-malicioso\">JavaScript malicioso<\/h2>\n\n\n\n<p>Cuando se instala, el malware a\u00f1ade su propio JavaScript malicioso a los archivos% AppData% \\ Discord \\ [version] \\ modules \\ discord_modules \\ index.js y % AppData% \\ Discord \\ [version] \\ modules \\ discord_desktop_core \\ index.js .<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"939\" height=\"639\" src=\"https:\/\/forti1.com\/wp-content\/uploads\/2019\/10\/malware-index1.jpg\" alt=\"pantalla de puerta trasera\" class=\"wp-image-7598\" title=\"\" srcset=\"https:\/\/forti1.com\/wp-content\/uploads\/2019\/10\/malware-index1.jpg 939w, https:\/\/forti1.com\/wp-content\/uploads\/2019\/10\/malware-index1-300x204.jpg 300w, https:\/\/forti1.com\/wp-content\/uploads\/2019\/10\/malware-index1-768x523.jpg 768w, https:\/\/forti1.com\/wp-content\/uploads\/2019\/10\/malware-index1-50x34.jpg 50w\" sizes=\"(max-width: 939px) 100vw, 939px\" \/><figcaption class=\"wp-element-caption\">Modificado el archivo Discord Index.js<\/figcaption><\/figure>\n\n\n\n<p>El malware de puerta trasera cerrar\u00e1 y reiniciar\u00e1 la aplicaci\u00f3n Discord para que se puedan ejecutar los nuevos cambios de JavaScript.<\/p>\n\n\n\n<p>Una vez iniciado, JavaScript ejecutar\u00e1 varios comandos de la API de Discord y funciones de JavaScript para recopilar diversa informaci\u00f3n sobre el usuario que se enviar\u00e1 a trav\u00e9s de un webhook de Discord al atacante.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"novo-malware-informacoes-coletadas\">Nuevo malware: informaci\u00f3n recogida<\/h2>\n\n\n\n<p>La informaci\u00f3n recopilada y enviada al atacante incluye:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Disagree user token<\/li>\n\n\n\n<li>Zona horaria de la v\u00edctima<\/li>\n\n\n\n<li>Resoluci\u00f3n de pantalla<\/li>\n\n\n\n<li>Direcci\u00f3n IP local de la v\u00edctima<\/li>\n\n\n\n<li>Direcci\u00f3n IP p\u00fablica de la v\u00edctima a trav\u00e9s de WebRTC<\/li>\n\n\n\n<li>Informaci\u00f3n del usuario, como nombre de usuario, direcci\u00f3n de correo electr\u00f3nico, n\u00famero de tel\u00e9fono, etc.<\/li>\n\n\n\n<li>Si han almacenado informaci\u00f3n de pago<\/li>\n\n\n\n<li>Factor de zoom<\/li>\n\n\n\n<li>Agente de usuario del navegador<\/li>\n\n\n\n<li>Versi\u00f3n Discord<\/li>\n\n\n\n<li>Los primeros 50 caracteres de las v\u00edctimas del portapapeles de Windows<\/li>\n<\/ul>\n\n\n\n<p>El contenido del portapapeles es especialmente preocupante, ya que podr\u00eda permitir robar contrase\u00f1as, informaci\u00f3n personal u otros datos confidenciales copiados por el usuario.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"a-funcao-gightdio\">La funci\u00f3n Gightdio<\/h2>\n\n\n\n<p>La funci\u00f3n Gightdio que act\u00faa como puerta trasera en el nuevo malware<\/p>\n\n\n\n<p>Una vez enviada la informaci\u00f3n, el malware Discord ejecutar\u00e1 la funci\u00f3n fightdio (), que act\u00faa como puerta trasera.<\/p>\n\n\n\n<p>Esta funci\u00f3n se conectar\u00e1 a un sitio remoto para recibir un comando adicional para ejecutar. Esto permite al atacante llevar a cabo otras actividades maliciosas, como robar informaci\u00f3n de pago, si la hubiera, ejecutar comandos en el ordenador o instalar potencialmente otro malware.<\/p>\n\n\n\n<p>En este momento, el sitio de arriba est\u00e1 ca\u00eddo, pero no se sabe si una muestra diferente utiliza un sitio diferente o no. Adem\u00e1s, un comentarista m\u00e1s abajo afirma que el malware ha dejado de funcionar, pero no tenemos forma de confirmarlo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"mensagens-do-discord\">Mensajes de discordia<\/h2>\n\n\n\n<p>El investigador e ingeniero inverso Vitali Kremez, que tambi\u00e9n analiz\u00f3 el malware, dijo a BleepingComputer que la infecci\u00f3n se vio utilizando nombres de archivo como \"Blueface Reward Claimer.exe\" y \"Synapse X.exe\". Aunque no est\u00e1 100% seguro de c\u00f3mo se est\u00e1 propagando, Kremez cree que el atacante est\u00e1 utilizando mensajes de Discord para propagar el malware.<\/p>\n\n\n\n<p>Como esta infecci\u00f3n no muestra ninguna indicaci\u00f3n externa de que ha sido comprometida, un usuario no tiene ni idea de que est\u00e1 infectado a menos que ejecute una detecci\u00f3n de red y vea las inusuales llamadas a la API y al gancho web.<\/p>\n\n\n\n<p>Si el instalador es detectado y eliminado, los archivos modificados de Discord seguir\u00e1n infectados y continuar\u00e1n ejecut\u00e1ndose cada vez que inicie el cliente. La \u00fanica forma de limpiar la infecci\u00f3n ser\u00e1 desinstalar la aplicaci\u00f3n Discord y volver a instalarla para que se eliminen los archivos modificados.<\/p>\n\n\n\n<p>Peor a\u00fan, despu\u00e9s de m\u00e1s de dos semanas, este malware Discord todav\u00eda tiene s\u00f3lo 24\/65 detecciones en VirusTotal.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"como-verificar-se-voce-esta-infectado-pelo-novo-malware\">C\u00f3mo comprobar si est\u00e1 infectado por el nuevo malware<\/h2>\n\n\n\n<p>Comprobar si tu cliente Discord ha sido modificado es muy f\u00e1cil, ya que los archivos de destino suelen tener una sola l\u00ednea de c\u00f3digo.<\/p>\n\n\n\n<p>Para comprobar el % AppData% \\ Discord \\ [version] \\ modules \\ discord_modules \\ index.js, simplemente abrirlo en el Bloc de notas y s\u00f3lo debe contener la \u00fanica l\u00ednea de \"module.exports = require ('.\/ discord_modules.node'); \" como se muestra a continuaci\u00f3n.<\/p>\n\n\n\n<p>Para el archivo % AppData% \\ Discord \\ [version] \\ modules \\ discord_desktop_core \\ index.js , s\u00f3lo debe contener el \"module.exports = require ('.\/ core.asar');\" como se muestra a continuaci\u00f3n.<\/p>\n\n\n\n<p>Si uno de los dos archivos contiene c\u00f3digo distinto del mostrado anteriormente, desinstala y vuelve a instalar el cliente Discord y confirma que se han eliminado las modificaciones.<\/p>\n\n\n\n<p>Es importante recordar, sin embargo, que otro malware puede modificar f\u00e1cilmente otros archivos JavaScript utilizados por el cliente Discord, por lo que estas instrucciones son s\u00f3lo para ese malware espec\u00edfico.<\/p>\n\n\n\n<div class=\"wp-block-buttons alignfull is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-primary\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/forti1.com\/es\/fortinet\/forticlient-endpoint\/\" target=\"_blank\" rel=\"noreferrer noopener\">Conozca Fortinet Endpoint<\/a><\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"como-o-discord-pode-proteger\">C\u00f3mo puede proteger la Discordia<\/h2>\n\n\n\n<p>C\u00f3mo Discord puede protegerte de las amenazas de malware<\/p>\n\n\n\n<p>Despu\u00e9s de publicar este art\u00edculo, recibimos muchas preguntas sobre c\u00f3mo Discord puede avisar a los usuarios de los cambios en el cliente.<\/p>\n\n\n\n<p>Discord puede hacer esto mediante la creaci\u00f3n de un hash para cada archivo de cliente cuando se lanza una nueva versi\u00f3n. Despu\u00e9s de la instalaci\u00f3n, si se modifica el archivo, este hash se modificar\u00e1.<\/p>\n\n\n\n<p>Cuando se inicia el cliente Discord, puede realizar una comprobaci\u00f3n de la integridad del archivo y verificar que los hashes del archivo actual coinciden con los hashes por defecto del cliente Discord. Si son diferentes, ese archivo ha sido modificado y la aplicaci\u00f3n puede mostrar una advertencia, como la maqueta que hemos creado a continuaci\u00f3n, que permite al usuario continuar cargando el cliente o cancelarlo.<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-wp-embed is-provider-forti-one wp-block-embed-forti-one\"><div class=\"wp-block-embed__wrapper\">\nhttps:\/\/forti1.com\/phishing-cuidado-nova-versao\/\n<\/div><\/figure>\n\n\n\n<p>Esta comprobaci\u00f3n debe realizarse utilizando c\u00f3digo nativo en lugar de otro archivo JavaScript, que puede modificarse f\u00e1cilmente.<\/p>\n\n\n\n<p>Actualizaci\u00f3n 24\/10\/19: Se han a\u00f1adido secciones sobre c\u00f3mo comprobar si se han modificado archivos JS especificados y c\u00f3mo Discord puede supervisar este tipo de modificaciones.<\/p>\n\n\n\n<p>Actualizaci\u00f3n 10\/24\/19 5:25PM EST: A\u00f1adida informaci\u00f3n sobre que el C2 est\u00e1 muerto, que el nombre real de esta infecci\u00f3n puede ser BlueFace y que se dice que el malware est\u00e1 descatalogado.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Por <a aria-label=\" (se abre en una nueva pesta\u00f1a)\" href=\"http:\/\/www.bleepingcomputer.com\/author\/lawrence-abrams\/\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"rank-math-link\">Lawrence Abrams<\/a><\/p>\n\n\n\n<p><\/p>\n<cite>Fuente: <a href=\"http:\/\/www.bleepingcomputer.com\/\" target=\"_blank\" aria-label=\" (se abre en una nueva pesta\u00f1a)\" rel=\"noreferrer noopener\" class=\"rank-math-link\">\/\/www.bleepingcomputer.com <\/a><\/cite><\/blockquote>","protected":false},"excerpt":{"rendered":"<p>Un nuevo malware se dirige a los usuarios de Discord, modificando el cliente Discord de Windows para transformarlo en una puerta trasera y un troyano que roba informaci\u00f3n.<\/p>","protected":false},"author":4,"featured_media":6299,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"no-sidebar","site-content-layout":"default","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":null,"stick-header-meta":null,"header-above-stick-meta":null,"header-main-stick-meta":null,"header-below-stick-meta":null,"astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[11],"tags":[1019,1021,1024],"class_list":["post-6298","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnolgia","tag-discord","tag-information-stealer","tag-trojan"],"_links":{"self":[{"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/posts\/6298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/comments?post=6298"}],"version-history":[{"count":0,"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/posts\/6298\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/media\/6299"}],"wp:attachment":[{"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/media?parent=6298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/categories?post=6298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/forti1.com\/es\/wp-json\/wp\/v2\/tags?post=6298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}