CursedGrabber Malware
Die Anzahl der Malware-Bedrohungen, die die legitime Discord-Plattform ausnutzen, scheint zuzunehmen. Die neueste Bedrohung dieser Art, die von Infosec-Forschern entdeckt wird, heißt "xpc.js" und gehört zur CursedGrabber Malware-Familie. Diese Malware wurde von demselben Hacker veröffentlicht, der für zuvor entdeckte Malware wie discord.dll, discord.application, wsbd.js und ac-addon verantwortlich ist.
Trotz seines Namens ist 'xpc.js' keine JavaScript-Datei, sondern eine beschädigte npm-Komponente, die auf Windows-Hosts abzielt. Es wird als Archiv mit dem Namen 'tar.gz' geliefert, das zwei EXE-Dateien enthält - 'lib.exe' und 'lib2.exe', die über 'postinstall'-Skripte aus der Manifestdatei ausgeführt werden. 'Lib.exe' ist eine Infostealer-Malware, die verschiedene Datentypen von kompromittierten Systemen sammelt und über Discord-Webhooks an die Angreifer zurücksendet. Zu den gesammelten Informationen gehören Benutzerprofile aus mehreren Browsern, Discord-Token, Discord-Leveldb-Dateien usw. Die Bedrohung versucht sogar, bestimmte Zahlungsdetails und Rechnungsinformationen abzurufen.
Die 'lib2.exe'-Datei ist eine Pipette, die eine beschädigte ZIP-Datei liefert. Der Name des heruntergeladenen Archivs und der Speicherort werden über einen fest codierten Webhook ermittelt. Das ZIP-Archiv enthält 34 DLL- und zwei Exe-Dateien. Die ausführbaren Dateien heißen 'osloader.exe' und 'winresume.exe' und werden von 'lib2.exe' selbst initiiert. Diese Malware nach der Infektion verfügt über erhebliche RAT-Funktionen (Remote Access Trojan). Es kann seine Berechtigungen erweitern, Screenshots machen, Keylogging-Aktivitäten ausführen, auf verbundene Webcams zugreifen usw.
Darüber hinaus wird eine Hintertür mit einer REST-API eingerichtet, die auf Port 20202 auf dem gefährdeten Computer ausgeführt wird und einen einfachen Zugriff auf die Command-and-Control-Infrastruktur gewährleistet. Die Binärdatei 'winresume' ist eine manipulierte Version der legitimen Anwendung 'winresume.exe', die die Wiederaufnahme von Windows-Computern erleichtert, die sich über einen längeren Zeitraum im Ruhezustand befinden. Ziel ist es, beschädigten Code in legitimen Binärdateien zu verbergen, was die Erkennung von Bedrohungen erheblich erschwert.
Eine weitere Familie der Discord- Malware ist TroubleGrabber, das im Gegensatz zu CursedGrabber zwei legitime Dienste - Discord und GitHub - im Rahmen seiner Bedrohungsoperationen missbraucht.
