Как стать автором
Обновить

Найден новый зловред, который делает Discord для Windows средством шпионажа

Информационная безопасность *Разработка под Windows *
imageФото: www.bleepingcomputer.com

Специалисты выявили вредоносную программу Spidey Bot, которая использует легитимный клиент Discord для Windows и превращает его в средство для шпионажа и кражи информации.

Discord представляет собой Electron-приложение, и почти вся его функциональность основана на HTML, CSS и JavaScript. Это позволяет хакерам модифицировать ключевые файлы.

Так, при установке Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%\Discord\[version]\modules\discord_modules\index.js и %AppData%\Discord\[version]\modules\discord_desktop_core\index.js. Он завершит работу Discord и перезапускает программу для вступления изменений в силу.

Вредоносный JavaScript способен использовать различные команды Discord API и функции JavaScript, чтобы собирать данные о пользователе. Затем вся информация передается злоумышленнику через веб-хук Discord.

Таким образом, хакеры могут завладеть Discord-токеном пользователя; его часовым поясом; разрешением экрана; локальным IP-адресом; публичным IP-адресом (WebRTC); информацией о пользователе — именем, адресом электронной почты, номером телефона и другими данными; данными о платежной информации; user agent браузера; версией Discord; первыми 50 символами из буфера обмена.

Затем malware выполняет функцию fightdio(), которая действует как бэкдор и используется для подключения к удаленному сайту и ожидания дополнительных команд. То есть теперь хакер может украсть платежную информацию, выполнить ряд команд на машине жертвы и установить другое вредоносное ПО.

Эксперт Виталий Кремез сообщил, что в ходе заражения используются файлы с именами Blueface Reward Claimer.exe и Synapse X.exe. По его мнению, злоумышленники используют обычные сообщения в Discord для распространения вредоноса.


По данным экспертов, такого рода атаки особенно опасны, так как внешне не проявляют себя. Подозрительную активность можно заметить, лишь обнаружив странные вызовы API и веб-хуков. А защитные решения пока плохо обнаруживают malware. По информации VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.

Если же программа обнаружена и удалена, то измененные файлы Discord по-прежнему остаются зараженными и продолжают выполняться при каждом запуске клиента. Таким образом, нужно удалить приложение Discord и переустановить его. Пользователь может обнаружить зараженные файлы, открыв клиент Discord в «Блокноте». Для %AppData%\Discord\[version]\modules\discord_modules\index.js он должен содержать всего одну строку «module.exports = require ('./discord_modules.node');».

image

Для файла %AppData%\Discord\[version]\modules\discord_desktop_core\index.js он должен содержать только «module.exports = require ('./core.asar');».

image

Если любой из двух файлов содержит код, отличный от того, что показан выше, необходимо удалить и переустановить клиент.
Теги: вредоносное повирусыхакерыданные пользователейwindowsdiscord
Хабы: Информационная безопасность Разработка под Windows
Всего голосов 10: ↑9 и ↓1 +8
Комментарии 2
Комментарии Комментарии 2

Похожие публикации

Лучшие публикации за сутки