Клиент Discord модифицировали для кражи аккаунтов

    imageФото: www.bleepingcomputer.com

    В клиенте Discord начало распространяться новое вредоносное ПО NitroHack. Оно позволяет красть учетные записи. Распространение этого ПО стало возможным благодаря изменениям файлов JavaScript, используемых клиентом.

    Пользователям приходит сообщение с предложением о бесплатной премиальной услуге Discord Nitro. Когда пользователь открывает файл, ПО крадет токены, сохраненные в различных браузерах, а также информацию о кредитной карте и прочие данные. Вредонос распространяется через зараженные аккаунты, используя их контакты, путем личных сообщений друзьям.

    imageФото: www.bleepingcomputer.com

    В MalwareHunterTeam, которая обнаружила ПО на прошлой неделе, объяснили, как это работает. Если пользователь загружает переданный ему файл и запускает его, NitroHack изменит % AppData%\\Discord\0.0.306\modules\discord_voice\index.js и добавит снизу вредоносный код. Он пытается изменить один и тот же файл JavaScript в клиентах Discord Canary и Discord Public Test Build.

    Ниже приведены оригинальный файл discord_voice\index.js и его измененная версия:

    image imageФото: www.bleepingcomputer.com

    Путем модификации файла вредоносная программа сможет отправлять токены жертвы на Discord-канал атакующего каждый раз, когда пользователь запускает клиент.

    NitroHack копирует базы данных Chrome, Discord, Opera, Brave, Яндекс Браузер, Vivaldi и Chromium и сканирует их на наличие токенов Discord.

    imageФото: www.bleepingcomputer.com

    Чтобы попытаться украсть данные кредитных карт, вредоносная программа пытается подключиться к URL-адресу discordapp.com/api/v6/users/@me/billing/payment-source и получить сохраненную информацию о платеже.

    Ранее ИБ-эксперты обнаружили новую версию вредоносного ПО AnarchyGrabber, которое также модифицировало клиент Discord для выполнения вредоносной деятельности. Оно воровало пароли пользователей, а затем использовало их аккаунты для дальнейшего распространения.

    Прошлой осенью специалисты выявили вредоносную программу Spidey Bot, которая также путем модификации ключевых файлов позволяла использовать клиент Discord для шпионажа и кражи информации. Таким образом, хакеры могли украсть платежную информацию, выполнить ряд команд на машине жертвы и установить другое вредоносное ПО.

    Исследователи видят опасность такого поведения в том, что вредонос путем цепочки действий заражает клиент, но затем не запускается снова, и определители вредоносного софта могут просто не обнаружить его. Даже если антивирус найдет исполняемый файл Nitro Hack, маловероятно, что он обнаружит модификацию клиента.

    Чтобы проверить, не заражен ли клиент Discord, нужно открыть %AppData%\\Discord\0.0.306\modules\discord_voice\index.js в Блокноте и убедиться, что в конце файла нет изменений. Обычный немодифицированный файл заканчивается следующей строкой: module.exports = VoiceEngine;

    Удалить вредоносный код из файла index.js можно вручную. Либо необходимо переустановить сам клиент Discord.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 14

      0

      Это же уже не в первый раз с дискордом, почему у них нет проверки целостности файлов, как-то странно.

        0
        Видимо потому что идея в том что пользователь имеет возможность и право модифицировать свой клиент как ему вздумается для своего удобства.
          +4

          Одно другому не мешает: можно при запуске спрашивать, всё ли в порядке, что файлы изменены. Те, кто сам меняет файлы, не испугаются такого вопроса, остальные будут защищены.

            +2
            Остальные кликнут «ОК», не читая. Так же, как кликнули, когда запускали левый файл с инжектором самого зловреда.
              0
              Сильно зависит от того, что «ОК» будет делать. В этом смысле ответ dartraiden показывает проблему, которую сложнее обойти.
              +4
              Так логика проверки файлов тоже будет в js, и её тоже запатчат.

              У них же клиент на базе Electron.
              –1

              Вносить модификации в клиент так-то запрещено лицензионным соглашением.

              0

              Вопрос скорее должен звучать как "почему у них код приложения не находится в одном бандле, который подписан доверенным сертификатом, а лежит в ФС".

              –3
              Discord и сам недалеко от трояна ушёл.
                +3
                Discord is spyware because it collects all information that passes through its communication platform. As Discord is a centralized communication platform, all communications have to go through Discord's official servers, where all of that information can potentially be recorded.
                По такой логике и Хабр — троян. Тут тоже всё через сервер Хабра идёт, включая личные сообщения.

                А после «Discord receives government requests for your information» я, признаюсь, читать дальше не стал, у автора кончились аргументы и он уже пошёл докапываться буквально к телефонному столбу.
                  0
                  Вы сравниваете веб сервис с программой, имеющей полный доступ к компьютеру. Чем она пользуется, фингерпринтя железо и собирая список установленных программ.
                  Что до spyware.neocities.org — то это такой радикальный подход — учитывать все, даже самые минимальные проблемы приватности в софте. Например GNU или Libreboot — не всегда юзабельно, но очерчивает цели к которым нужно стремиться.
                  Хотя, говоря начистоту, любой сбор данных в мире Big Data следует расценивать как шпионство, т.к. это вредит даже неуловимым Джо. Мы просто привыкли к такой ситуации потому что «все собирают», «нечего скрывать» и «пофиг». А вообще это ненормальная ситуация и от этих практик нужно уходить.
                0
                Кажется нужно как-то учить людей не переходить по очевидно фишинговым ссылкам, которые обещают прибыль или что-то бесплатно. Но в настройках можно включить сканирование того, что вам присылают от всех/всех, кроме друзей, еще можно запретить писать вам сообщения тем, кто не на одном сервере с вами и просто запрет на добавление в друзья случайным аккаунтам.
                  0
                  Этим фишинговым приемам больше 20 лет, и всё никак не научатся. Не знаю, каким должно быть образование, чтобы исправить эту «проблему в прокладке». Никакие настройки безопасности не помогут, даже у сверхзащищенных корпораций периодически проскакивают черви, что уж говорить о домашних станциях обычных юзеров? Программа должна сама стремиться к максимальной секьюрности, где может. Просто затраты на это не оправдывают итог, т.к. пользователям обычно плевать на такие мелочи, как вирусы на компе.
                    0

                    В чём проблема уточнить у отправителя что находится по ссылке, а отправителю ответить? Куда всегда торопятся люди? Ссылки все прозрачные, object в код вставлять нельзя.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое