Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / Nuevo malware infecta el cliente de escritorio de Discord

Nuevo malware infecta el cliente de escritorio de Discord

Por Deja un comentario

El cliente de voz ‘Discord’ se convierte en el objetivo de un nuevo malware, que lo troyaniza para robar información del sistema.

El investigador ‘MalwareHunterTeam’ descubrió a principios de mes un nuevo malware que tiene como objetivo infectar la aplicación de escritorio de ‘Discord’, un cliente de voz que se ha hecho muy popular entre los ‘gamers’.

Se le conoce con el nombre de ‘Spidey Bot’, y para infectar la aplicación de escritorio de ‘Discord’ añade el código malicioso a los ficheros de código Javascript de la app.

La aplicación está desarrollada utilizando ‘Electron’, que permite desarrollar aplicaciones de escritorio utilizando HTML, CSS y Javascript. El troyano aprovecha este funcionamiento para modificar los ficheros de código de la aplicación y añadir código malicioso.

Una vez añadido el código malicioso, cada vez que el usuario inicia la app de ‘Discord’, se ejecutará también el código malicioso sin que el usuario sospeche.

El código malicioso se añade a los ficheros:

  • %AppData%\Discord[version]\modules\discord_modules\index.js
  • %AppData%\Discord[version]\modules\discord_desktop_core\index.js
Fichero Javascript infectado (Imagen BleepingComputer)

Después de infectar los ficheros, este malware reinicia la app de ‘Discord’ para que el código malicioso comience su ejecución. Lo primero que hace este código malicioso es obtener información sobre el sistema en el que se está ejecutando.

Código Javascript para recolección de información (Imagen BleepingComputer)

Entre la información recopilada y enviada al atacante se incluye:

  • Token de usuario de Discord
  • Zona horaria del sistema
  • Resolución de pantalla
  • IP local
  • IP pública
  • Información del usuario: nombre de usuario, email, teléfono, etc.
  • Información de pagos almacenada
  • Versión de Discord
  • Los 50 primeros caracteres del clipboard de Windows

Después de recopilar y enviar esta información, el troyano ejecutará la función ‘fightdio‘, que se encarga de conectar al servidor de control y esperar comandos que ejecutar en el sistema.

Código de la función ‘fightdio’, encargada de recibir y ejecutar comandos específicos (Imagen BleepingComputer)

El servidor de control ya no se encuentra disponible, pero podrían existir nuevas muestras que utilicen nuevos servidores de control activos.

Más información:

Fuente: https://www.bleepingcomputer.com/news/security/discord-turned-into-an-info-stealing-backdoor-by-new-malware/

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.