Abaddon RAT

Die Nutzung der VoIP-Anwendung und der digitalen Vertriebsplattform Discord ist zwar nicht alltäglich, für Hacker, die Malware-Tools erstellen, ist das jedoch nichts Neues. In der Vergangenheit haben sie Discord als Malware-Hosting-Plattform oder als Distributionsdienst verwendet. Eine bestimmte Malware namens Spidey Bot wurde erstellt, um den Windows Discord-Anwendungsclient zu ändern und ihn speziell in einen Info-Stealer zu verwandeln. In anderen Fällen missbrauchten böse Angreifer die Webhooks-Funktion, ein hilfreiches Tool, mit dem Websites oder Anwendungen von Drittanbietern Nachrichten an Discord-Kanäle senden können, um gesammelte Daten von gefährdeten Benutzern zu übertragen.

Ein neuer RAT (Remote Access Trojan) namens Abaddon verwendet Discord jedoch als vollwertigen Command-and-Control-Server (C2, C & C), was Infosec-Forscher bisher noch nicht gesehen haben.

Sobald Abaddon den Zielcomputer infiltriert, führt es seine Datenerfassungsverfahren aus. Die RAT kann vertrauliche Daten wie Kredit- / Debitkartendaten, Chrome-Cookies und Anmeldeinformationen sowie verschiedene Systeminformationen wie Hardwaredetails, IP-Adresse und Land abrufen. Die Malware wechselt dann zur Steam-Anwendung, wenn sie auf dem gefährdeten Gerät installiert ist, und sammelt die Anmeldeinformationen und die Liste der Spiele. Schließlich greift Abaddon auf Discord-Token und MFA-Informationen (Multifactor Authentication) zu.

Sobald der erste Satz der Datenerfassung abgeschlossen ist, versucht die RAT, eine Verbindung zum Discord C & C-Server herzustellen, um zusätzliche Befehle zu erhalten. Alle 10 Sekunden wird nach neuen Anweisungen gesucht. Die Hacker können fünf verschiedene Abaddon-Funktionen initiieren, indem sie die entsprechenden Befehle senden. Sie können eine Liste aller mit dem infizierten Computer verbundenen Laufwerke abrufen, Dateien oder ganze Verzeichnisse exfiltrieren, beliebige Befehle über eine Reverse Shell ausführen, alle von Abaddon gesammelten Daten hochladen und die vorhandenen Protokolle löschen. Abaddons letzte Bedrohungsfähigkeit besteht darin, als Ransomware-Bedrohung zu agieren, obwohl diese spezielle "Funktion" von den Hackern noch entwickelt wird. Die Forscher von MalwareHunterTeam, die Abaddon analysierten, stellten fest, dass der von der Malware gelieferte Lösegeldschein im Moment nur ein Platzhalter ist. Die auf dem Computer des Opfers gespeicherten Dateien zu verschlüsseln und dann Geld für ihre Wiederherstellung zu verlangen, ist eine lukrative Taktik, die von Cyberkriminellen angewendet wird, und es wäre nicht verwunderlich, wenn Abaddons Ransomware-Funktionen in kurzer Zeit freigesetzt würden.