Recientemente se han detectado nuevas muestras de malware que están aprovechando los servicios de Discord como servidor de control, que recibe la información privada robada de las máquinas infectadas.
Con anterioridad hemos hablado de malware que ha utilizado Discord de una u otra forma para lograr robar los datos de sus víctimas. Algunos han utilizado el cliente de Discord para ejecutarse, infectándolo. Mientras que otros, como el malware del que os hablamos hoy, lo usan para enviar la información robada.
En este caso hablamos de TroubleGrabber, un malware detectado recientemente que esta utilizando los servidores de Discord para enviar la información robada a sus operadores.
Al parecer, el propio desarrollador del troyano está distribuyendo su creación a través de su propio canal de Discord, en el que cuenta con más de 500 miembros. De esta forma, el propio malware se encuentra alojado en los servidores de Discord para su descarga, aunque algunas versiones y sus implantes también han estado disponibles en repositorios de Github pertenecientes al atacante.
En la siguiente imagen, los investigadores de Netskope que han detectado este troyano, reflejan el esquema completo que utiliza el atacante para infectar a sus víctimas y robar sus datos.
Tal y como podemos observar, el esquema de infección comienza en Discord, el lugar en el que el operador consigue que sus víctimas descarguen el malware y se infecten.
A partir de esta primera infección, el malware se encarga de descargar los diferentes payloads o implantes desde Discord o Github. Dichos implantes, como podemos observar, son en muchos casos binarios relativos a software legítimo, pero que en este contexto se utilizan con intenciones maliciosas.
Uno de los binarios que se descarga es el del software ‘WebBrowserPassView‘, desarrollado por la empresa NirSoft y que se utiliza para obtener la lista completa de contraseñas almacenadas en los navegadores del equipo. De este modo, el atacante logra robar las contraseñas de la víctimas.
Toda la información robada se envía a los servidores de Discord utilizando las funcionalidades de ‘webhooks‘. Gracias a esta funcionalidad, el malware puede enviar la información realizando una petición HTTP a los servidores de Discord, y el atacante recibe dicha información como si se tratase de un mensaje de Discord normal enviado por un bot legítimo.
La ventaja de usar la infraestructura de una compañía como Discord, es que es más complicado de bloquear la comunicación con los atacantes, ya que al usar servidores legítimos las suites de seguridad no pueden bloquear la comunicación de forma sencilla. Aunque Discord comienza a incorporar detección automática de este tipo de abusos, podría convertirse en un arma de doble filo para los operadores de malware.
Más información:
Deja una respuesta