TroubleGrabber Malware

Die Anzahl der Malware-Bedrohungen, die die soziale Plattform und die Voice-Chat-Anwendung von Discord ausnutzen, nimmt stetig zu. Eine davon ist die Trouble Grabber-Malware. Die Trouble Grabber-Malware wurde erstmals von Forschern entdeckt, die öffentliche URLs für Discord-Anhänge auf unsichere Inhalte überwachten. TroubleGrabber missbraucht Discord auf verschiedene Weise, sowohl als Übermittlungs- als auch als Command-and-Control-Kommunikationsplattform (C2, C&C). Ein weiterer legitimer Dienst - GitHub - wird als Repository für Nutzdaten der zweiten Stufe verwendet, die von der Bedrohung bereitgestellt werden.

Die Angriffskette der TroubleGrabber-Malware beginnt mit der Übermittlung der Bedrohung an den Zielcomputer über einen Discord-Anhang. Der Link führt zu einem Archiv, das eine ausführbare Datei enthält. Beide maskieren sich als legitime Anwendung namens Discord Nitro Generator. Wenn der 'Discord Nitro Generator and Checker.exe' ausgeführt wird, werden fünf zusätzliche Nutzdaten auf dem gefährdeten Gerät geliefert - Curl.exe, WebBrowserPassView.exe, Tokenstealer.vbs, Tokenstealer.bat und Sendhookfile.exe. Alle Nutzdaten der zweiten Stufe werden aus einem GitHub-Repository entnommen und in den Speicherort C: \ temp heruntergeladen.

Tokenstealer.bat ist der Hauptkoordinator für die schädlichen Aktivitäten der Bedrohung. Es ist für die Ausführung einiger zusätzlicher Nutzdaten verantwortlich. WebBrowserPassView.exe sammelt die in allen Webbrowsern des Opfers gespeicherten Passwörter und speichert sie dann in 'C: /temp/Passwords.txt.' Es verwendet Curl.exe, um bestimmte Daten wie Benutzername, IP-Adresse, SystemInfo, Zeit und Daten sowie Token von Discord, PTB und Canary auf den Discord-Server des Angreifers zu filtern. Tokenstealer.bat kümmert sich auch um den Bereinigungsprozess, mit dem die Spuren der TroubleGrabber-Aktivitäten minimiert werden sollen, indem die Dateien 'ip_address.txt', 'WindowsInfo.txt', 'Passwords.txt', 'curl-ca-bundle.crt', 'curl.exe' und 'CustomEXE.exe' gelöscht werden. Als letzter Schritt wird der gefährdete Computer neu gestartet.

Das von TroubleGrabber verwendete GitHub-Repository gehört einem Benutzer namens "Ithoublve", der anscheinend der ursprüngliche Entwickler der Bedrohung ist. Neben den Nutzdaten der zweiten Stufe verfügte das Repository auch über eine ausführbare Datei mit dem Namen "ItroublveTSC.exe", die einen Generator für die Malware und ihre Komponenten darstellt. Jeder, der Zugriff auf den Generator hat, kann die Malware-Bedrohung nach seinen Wünschen anpassen, indem er ihm seine eigenen Discord-Webhooks zur Verfügung stellt, eine gefälschte Nachricht eingibt, ein benutzerdefiniertes Symbol auswählt und die zusätzlichen Funktionen anpasst, die er einschließen möchte - "Crash PC". EXE automatisch entfernen, Discord neu starten, PC neu starten, ShutdownPC und Custom EXE.