Novo malware TroubleGrabber tem como alvo os usuários do Discord

Os pesquisadores de segurança da Netskope identificaram um novo ladrão de credenciais chamado TroubleGrabber, que se espalha por meio de anexos do Discord e usa webhooks do Discord para transferir dados roubados para seus operadores.

O malware possui as mesmas funcionalidades usadas por outro malware que visa os jogadores do Discord, como AnarchyGrabber , mas parece ser o trabalho de diferentes atores de ameaças. O TroubleGrabber foi desenvolvido por um indivíduo chamado “Itroublve” e atualmente é usado por vários agentes de ameaças.

Este malware é distribuído por download drive-by, ele é capaz de roubar tokens de navegador da web, tokens de webhook do Discord, senhas de navegador da web e informações do sistema. O malware envia informações de volta ao invasor via webhook como uma mensagem de bate-papo para seu servidor Discord.

O malware foi distribuído via Discord em 97,8% das infecções detectadas, “com pequenos números distribuídos via anonfiles.com e anonymousfiles.io, serviços que permitem aos usuários fazer upload de arquivos anonimamente e gratuitamente para gerar um link de download público”.

O ladrão de informações também foi distribuído entre os usuários do Discord de mais de 700 IDs de canal do servidor Discord diferentes.

Os pesquisadores da Netskope descobriram o TroubleGrabber em outubro de 2020 enquanto analisavam as ameaças do Discord.

Os especialistas identificaram mais de 5.700 URLs públicos de anexos Discord que hospedam malware.

“Só em outubro de 2020, identificamos mais de 5.700 URLs públicos de anexos Discord que hospedavam conteúdo malicioso, principalmente na forma de arquivos e arquivos executáveis ​​do Windows. Ao mesmo tempo, verificamos nosso banco de dados de malware em busca de amostras contendo URLs do Discord usados ​​como cargas úteis do próximo estágio ou C2. ” lê o relatório publicado pela NetSkope.

“A Figura 1 mostra uma análise das cinco principais detecções de 1.650 amostras de malware do mesmo período que foram entregues a partir do Discord e também continham URLs do Discord.”

A cadeia de destruição do ataque TroubleGrabber aproveita o Discord e o Github como repositório para as cargas úteis do próximo estágio que são baixadas para a   pasta C: / temp assim que a vítima é infectada com o malware.

As cargas úteis do TroubleGrabber roubam as credenciais das vítimas, incluindo informações do sistema, endereço IP, senhas do navegador da web e tokens.

“Em seguida, ele os envia como uma mensagem de bate-papo de volta ao invasor por meio de um URL de webhook.” continua o relatório.

A NetSkope descobriu que o autor do malware atualmente executa um servidor Discord com 573 membros e hospeda as cargas úteis do próximo estágio e o gerador de malware em sua conta pública do GitHub.

A análise OSINT permitiu que os especialistas identificassem o servidor Discord, página do Facebook, Twitter, Instagram, site, endereço de e-mail e um canal do YouTube.

“O Netskope Threat Labs relatou os elementos de ataque do TroubleGrabber ao Discord, GitHub, YouTube, Facebook, Twitter e Instagram em 10 de novembro de 2020.” concluiu o relatório.

“Os Indicadores de Compromisso (IOCs) associados ao TroubleGrabber estão disponíveis no Github .”

Fonte: https://securityaffairs.co/wordpress/110887/malware/troublegrabber-discord-malware.html