Ερευνητές ασφαλείας της Netskope ανακάλυψαν ένα νέο malware, με το όνομα TroubleGrabber, το οποίο κλέβει credentials και εξαπλώνεται μέσω Discord συνημμένων. Επιπλέον, το malware χρησιμοποιεί Discord webhooks για να παραδώσει τις κλεμμένες πληροφορίες στους χειριστές του.

Σύμφωνα με τους ερευνητές, αρκετές hacking ομάδες χρησιμοποιούν το νέο εργαλείο κλοπής πληροφοριών για να στοχεύουν gamers σε Discord servers και να κλέψουν κωδικούς πρόσβασης και άλλες ευαίσθητες πληροφορίες.

Το TroubleGrabber έχει παρόμοιες δυνατότητες με ένα άλλο malware, το AnarchyGrabber, το οποίο μολύνει τους χρήστες του Discord και χρησιμοποιείται, επίσης, για τη συλλογή credentials και την απενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA).

Η Netskope ανακάλυψε το νέο malware τον Οκτώβριο του 2020. Τα δείγματα TroubleGrabber (που εντοπίστηκαν ως παραλλαγές Razy) αποτελούσαν πάνω από το 85% των 1.650 δειγμάτων malware που στόχευσαν χρήστες Discord τον Οκτώβριο.

Τρόπος επίθεσης

Σύμφωνα με τους ερευνητές, το Discord (όπως και το Github) χρησιμοποιείται για τη λήψη payloads στο C: /temp folder, μόλις ένα θύμα μολυνθεί με το TroubleGrabber.

Το κακόβουλο λογισμικό χρησιμοποιεί, επίσης, Discord webhooks για να επικοινωνήσει με τον command-and-control (C2) server των επιτιθέμενων και να στείλει τις κλεμμένες πληροφορίες των θυμάτων.

Οι ερευνητές λένε ότι το TroubleGrabber έχει τη δυνατότητα να κλέψει ένα ευρύ φάσμα σημαντικών πληροφοριών: web browser tokens, Discord webhook tokens, web browser passwords και πληροφορίες συστήματος.

Το ίδιο το TroubleGrabber στέλνει αυτές τις πληροφορίες στους Discord servers των εισβολέων μέσω μηνυμάτων, χρησιμοποιώντας Discord webhooks.

Λέγεται ότι η ομάδα που βρίσκεται πίσω από τη δημιουργία αυτού του infostealer, ονομάζεται Itroublve.

Η Netskope ανακάλυψε, επίσης, ότι έχει κυκλοφορήσει στο YouTube ένα tutorial που δείχνει πώς μπορεί κάποιος να χρησιμοποιήσει το TroubleGrabber για να δημιουργήσει και να ρυθμίσει τους δικούς τους Discord servers για τη φιλοξενία του κακόβουλου λογισμικού.

Τεχνικές εξάπλωσης

Όπως είπαμε και πιο πάνω, στις περισσότερες περιπτώσεις το TroubleGrabber παραδίδεται στους υπολογιστές των θυμάτων με drive-by downloads μέσω Discord attachment links.

Εντοπίσαμε περισσότερα από 1.000 binaries που διανεμήθηκαν μέσω drive-by download URLs με ονόματα αρχείων που παρουσιάζονται ως game cheats, Discord installers και software cracks“, είπαν οι ερευνητές της Netskope.

Το κακόβουλο λογισμικό εξαπλώθηκε μέσω Discord στο 97,8% των εντοπισμένων μολύνσεων. Ένα μικρό ποσοστό μολύνσεων έγινε μέσω του anonfiles.com και του anonymousfiles.io. Πρόκειται για υπηρεσίες που επιτρέπουν στους χρήστες να ανεβάζουν αρχεία ανώνυμα και δωρεάν για τη δημιουργία ενός δημόσιου download link.

Επίσης, το Thets Labs της Netskope μοιράστηκε TroubleGrabber IOCs (indicators of compromise) με το Discord, το GitHub, το YouTube, το Facebook, το Twitter και το Instagram (των οποίων οι πλατφόρμες χρησιμοποιήθηκαν σε επιθέσεις) στις 10 Νοεμβρίου.

Πηγή: Bleeping Computer