知名聊天软件 Discord App 存在各种恶意软件

Andrew 2021-02-13
专栏 - 资讯 发布于 2021-02-13 17:15:06 阅读 263 评论 0

Zscaler ThreatLabZ的研究表明,攻击者使用垃圾邮件和游戏软件的合法链接来提供Epsilon勒索软件,XMRrig加密矿工以及各种数据和令牌窃取者。

与大流行规定的社会隔离相关的在线游戏的增加导致针对人口的罪犯数量激增。利用这种趋势的最新努力是在Discord平台内植入恶意文件,该文件旨在诱骗用户下载带有恶意软件的文件。

研究人员报告多个活动广告活动指定的不和谐“CDN [。] discordapp [.] COM”服务设计为触发一个感染链和服务行动的小量勒索,数据偷窃者木马和XMRrig cryptominer,根据一个报告由Zscaler中ThreatLabZ。研究人员观察到,攻击者还将服务用于命令和控制(C2)通信。

Discord 小组聊天平台最初是为游戏玩家打造的,现已发展成为社交活动的虚拟水坑。玩家等都使用该应用程序在网上创建称为 “服务器” 的社区,这些社区既可以作为独立的论坛,也可以作为另一个网站的一部分。Discord 支持语音,视频或文本 - 允许所有人在创建的社区中进行交互。

COVID-19 安全但带有恶意软件的环境

像无数其他聊天和在线交流平台一样,Discord 的使用率也在上升。这使黑客将 Discord 和其他虚拟社区视为靶心,他们将其视为成熟的滥用目标。

ThreatLabZ 表示:“到 2020 年,研究表明游戏下载量急剧增加,网络犯罪分子并没有忽略这一活动。” “攻击者经常利用某些游戏的流行性(例如《我们之间》是最近的例子)来吸引玩家下载伪造的版本,以提供恶意软件。”

尽管在 Discord 中植入恶意软件不是一项新活动,但研究人员发现了许多新颖的活动,它们使用各种已知的恶意软件来吸引平台内的游戏玩家。

恶意软件

根据 ThreatLabZ 的说法,最近在 Discord 中发现的恶意软件不仅包括 Epsilon 勒索软件,还包括 XMRig 矿工和三种类型的盗窃者 - Redline Stealer,TroubleGrabber 和种类繁多的身份不明的 Discord 令牌劫持者。

研究人员观察到的新的 Discord 攻击通常始于垃圾邮件,在这种电子邮件中,用户被欺骗的合法外观模板诱使他们下载下一阶段的有效负载。攻击媒介使用 Discord 服务形成 URL,以托管恶意负载,如 https://cdn [.] discordapp [.] com /attachments/ ChannelID / AttachmentID /filename [.] exe

报告称,这些活动将恶意文件重命名为盗版软件或游戏软件,并使用与游戏相关的文件图标欺骗受害者。

研究人员调查了在最新的 Discord 运动中检测到的不同类型恶意软件的攻击媒介,每种攻击都有自己的方法。

主要发现

多个活动依赖于 cdn [.] discordapp [.] com 服务来感染链。
网络犯罪分子正在使用 Discord CDN 托管恶意文件以及进行命令和控制通信。
恶意文件被重命名为盗版软件或游戏软件,以欺骗游戏玩家。
文件图标也与游戏软件有关,以欺骗游戏玩家。

不同的恶意软件攻击,针对不同的人群

如果是 Epsilon 勒索软件,则从将.inf 文件和.exe 文件放入用户计算机的 Windows / Temp 文件夹中开始执行。该恶意软件通过在受害者计算机上创建注册表项,然后枚举系统驱动器,使用双重加密(包括随机生成的 32 位密钥和具有 2048 位可变长度的自定义 RC4 加密)来加密文件,从而建立持久性。钥匙。

研究人员指出,一旦建立了加密,攻击就会从 cdn.discordapp.com 链接下载赎金票据图像,以显示在受害者的机器上。但是,与新活动中发现的盗窃者和加密矿工不同,Epsilon 并未使用 Discord 发起 C2 通信。

Redline 窃取程序是一种去年开始在地下论坛上发布的新型俄罗斯恶意软件,其攻击方式是将其副本放入受害者计算机的 AppData / Roaming 文件夹中。研究人员说,窃取者利用几种流行的游戏应用程序名称来执行其活动,包括收集登录名和密码,cookie,自动完成字段和信用卡,以及从 FTP 和 IM 客户端窃取数据。

XMRig 挖矿器通过将自身的副本放在%ProgramData%\ RealtekHDUpdater \ realtekdrv [.] exe 上来发起攻击。然后在未经用户同意的情况下更改系统的文件许可权,并使用各种命令连接到 C2 服务器。

在尝试删除受害计算机上的一系列程序(包括进程黑客,任务管理器,Windows,Windows 任务管理器,AnVir 任务管理器,Taskmgr [.] exe 和 NVIDIA GeForce)后,该矿工使用 Monero 地址 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4N4XU4MW4G7W4W7W7W4K7W7L7W7N7W4K7W7W7L7N7W7W7W7L7W7W7W4K7W7W7W7W7W7N7W7W7W7W7W7W7L7W7W7N7W7W7W7W7W7W7L7W7W7W7W7W7W7W7W7WK7W7WK7K7BQ1C5C5C8C5C8C8YB2C

研究人员观察到的其他抢夺者使用 Discord 令牌窃取用户信息,Sonatype 的研究人员上个月也观察到使用 CursedGrabber 恶意软件将 Discord 定位为一种恶意活动。

机器人代码内部使用 Discord 令牌将命令来回发送给 Discord API,后者进而控制机器人的动作。如果 Discord 令牌被盗,它将使攻击者可以入侵服务器。

他们说,研究人员观察到,TroubleGrabber 在最新的攻击活动中以及其他各种身份不明的攻击者中都进行了代币窃取活动。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!