Discord wird durch Hintertür zum Datendieb

LifeStyle Technology

Eine neue Malware zielt auf Discord-User ab, indem sie den Windows Discord-Client so ändert, dass er zum Backdoor wird. Den Rest übernimmt ein Trojaner, der auf das Stehlen von Informationen ausgelegt ist.

Der Windows Discord-Client ist eine Electron-Anwendung, das heißt, fast alle Funktionen werden von HTML, CSS und JavaScript abgeleitet. So kann Malware die Core Files so ändern, dass der Client beim Start einen Schadcode ausführt. Diese Malware wurde Anfang dieses Monats vom MalwareHunterTeam entdeckt und heißt Spidey Bot. Sie basiert auf dem Namen des Discord-Befehls- und Kontrollkanals, mit dem die Malware kommuniziert hat. Insider behaupten, der richtiger Name wäre BlueFace.

Einmal auf dem System, fügt die Malware JavaScript-Schadcode in die %AppData%\Discord\[version]\modules\discord_modules\index.js and %AppData%\Discord\[version]\modules\discord_desktop_core\index.js files.

Die Malware wird dann beendet und die Discord-App neu gestartet, damit die neuen JavaScript-Änderungen ausgeführt werden. Nach dem Start führt das JavaScript verschiedene Discord-API-Befehle und JavaScript-Funktionen aus, um verschiedene Informationen über den User zu sammeln, die dann über einen Discord-Webhook an den Angreifer gesendet werden.

Die Informationen, die gesammelt und an den Angreifer gesendet werden, umfassen:

Discord user token

Victim timezone

Screen resolution

Victim’s local IP address

Victim’s public IP address via WebRTC

User information such as username, email address, phone number, and more

Whether they have stored payment information

Zoom factor

Browser user agent

Discord version

Die ersten 50 Zeichen der Windows-Zwischenablage des Opfers 

Der Inhalt der Zwischenablage ist besonders besorgniserregend, da er es dem Angreifer ermöglichen kann, Kennwörter, persönliche Informationen oder andere vertrauliche Daten zu stehlen, die vom Benutzer kopiert wurden. Nach dem Senden der Informationen führt die Discord-Malware die Funktion fightdio () aus, die als Hintertür fungiert. Diese Funktion stellt eine Verbindung zu einer Remote-Site her, um einen zusätzlichen auszuführenden Code zu erhalten. Auf diese Weise kann der Angreifer andere böswillige Aktivitäten ausführen, beispielsweise das Stehlen von Zahlungsinformationen, das Ausführen von Befehlen auf dem Computer oder das potenzielle Installieren weiterer Malware. IT-Interessierte Vitali Kremez, der auch die Malware analysierte, sagt, dass die Infektion anhand von Dateinamen wie Blueface Reward Claimer.exe und Synapse X.exe festgestellt werden kann. Der Angreifer verwendet den Discord Messaging Dienst, um die Malware zu verbreiten. Die Infektion geschied unmerklich, die User haben keine Ahnung, dass ihr System infiziert ist, es sei denn, sie führen ein Netzwerk-Sniffing durch. Dann fallen die ungewöhnlichen API- und Web-Hook-Aufrufe schon auf.

Beitragsbild: Pixabay Lizenz, geralt, thx!

Wer das Installationsprogramm erkennt und entfernt, ist noch keineswegs sicher. Es bleiben die geänderten Discord-Dateien weiterhin auf dem System. Sie werden bei jedem Start des Clients neu ausgeführt. Die einzige Möglichkeit, die System zu bereinigen, besteht darin, die Discord-App zu deinstallieren und neu zu installieren. So werden alle geänderten Dateien gelöscht.