Как стать автором
Обновить

Клиент™ Discord модифицировали для кражи аккаунтов

Информационная безопасность *Разработка под Windows *
imageФото: www.bleepingcomputer.com

В клиенте Discord начало™ распространяться новое вредоносное ПО NitroHack. Оно позволяет красть™ учетные записи™. Распространение этого ПО стало возможным благодаря изменениям файлов™ JavaScript, используемых клиентом.

Пользователям приходит сообщение с предложением о бесплатной премиальной услуге™ Discord Nitro. Когда пользователь открывает файл, ПО крадет™ токены™, сохраненные в различных браузерах, а также информацию о кредитной карте и прочие™ данные™. Вредонос распространяется через зараженные аккаунты, используя их контакты, путем личных™ сообщений друзьям.

imageФото: www.bleepingcomputer.com

В MalwareHunterTeam, которая обнаружила ПО на прошлой неделе™, объяснили, как это работает. Если пользователь загружает переданный ему файл и запускает его, NitroHack изменит % AppData%\\Discord\0.0.306\modules\discord_voice\index.js и добавит снизу вредоносный код. Он пытается изменить один и тот же файл JavaScript в клиентах Discord Canary™ и Discord Public™ Test Build.

Ниже приведены оригинальный файл discord_voice\index.js и его измененная версия™:

image imageФото: www.bleepingcomputer.com

Путем модификации файла вредоносная программа сможет™ отправлять токены™ жертвы™ на Discord-канал атакующего каждый™ раз, когда пользователь запускает клиент™.

NitroHack копирует базы данных™ Chrome™, Discord, Opera, Brave, Яндекс™ Браузер, Vivaldi и Chromium и сканирует их на наличие токенов Discord.

imageФото: www.bleepingcomputer.com

Чтобы попытаться украсть данные™ кредитных карт, вредоносная программа пытается подключиться к URL-адресу™ discordapp.com/api/v6/users/@me/billing/payment-source™ и получить сохраненную информацию о платеже.

Ранее ИБ-эксперты обнаружили новую версию™ вредоносного ПО AnarchyGrabber, которое также модифицировало клиент™ Discord для выполнения вредоносной деятельности. Оно воровало пароли™ пользователей, а затем использовало их аккаунты для дальнейшего распространения.

Прошлой осенью™ специалисты выявили вредоносную программу Spidey™ Bot, которая также путем модификации ключевых файлов™ позволяла использовать клиент™ Discord для шпионажа и кражи информации. Таким образом, хакеры™ могли украсть платежную информацию, выполнить ряд команд™ на машине™ жертвы™ и установить другое™ вредоносное ПО.

Исследователи видят опасность такого™ поведения в том, что вредонос путем цепочки действий заражает клиент™, но затем не запускается снова, и определители вредоносного софта могут просто™ не обнаружить его. Даже если антивирус найдет™ исполняемый файл Nitro Hack, маловероятно, что он обнаружит модификацию клиента.

Чтобы проверить, не заражен ли клиент™ Discord, нужно открыть %AppData%\\Discord\0.0.306\modules\discord_voice\index.js в Блокноте и убедиться, что в конце файла нет изменений. Обычный немодифицированный файл заканчивается следующей строкой: module™.exports = VoiceEngine;

Удалить вредоносный код из файла index.js можно вручную. Либо необходимо переустановить сам клиент™ Discord.
См. также:

Теги:
Хабы:
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 14K
Комментарии Комментарии 14