Обнаружен простой конструктор вредоносного ПО для кражи и отправки учетных данных на вебхуки Discord.
23 апреля 2022 года пользователь Discord под ником Portu начал рекламировать новый конструктор вредоносных программ для кражи паролей. Спустя четыре дня специалисты из компании Uptycs обнаружили первый образец вредоносного ПО, созданного в конструкторе Portu, который исследователи назвали KurayStealer. По данным экспертов, вредоносная программа использовалась для атак на пользователей Discord. Специалисты отметили, что автор KurayStealer вдохновлялся кодом других конструкторов вредоносного ПО, не стесняясь брать разные компоненты программ для кражи паролей из открытых источников по типу GitHub.
Принцип работы вредоноса прост: При первом запуске KurayStealer выполняет проверку, чтобы определить, использует ли злоумышленник бесплатную или "VIP" (платную) версию. Затем стилер пытается заменить строку "api/webhooks" на "Kisses" в BetterDiscord – расширенной версии приложения Discord, обладающей большей функциональностью для разработчиков. Если это действие будет успешным, хакер сможет нарушить защиту приложения и настроить вебхуки.
Вебхук – это механизм, с помощью которого веб-страницы и приложения могут передавать друг другу данные в режиме реального времени по протоколу HTTP. Они похожи на API, с той лишь разницей, что вебхуки отправляют информацию автоматически, без необходимости запроса со стороны получателя.
После настройки вебхуков вредоносная программа делает снимок экрана и определяет географическое положение устройства жертвы. Затем она начинает поиск учетных данных: запрашивает пароли, токены, IP-адреса и многое другое из Discord, Microsoft Edge, Chrome и 18 других приложений. Все данные, собранные в ходе этого процесса, возвращаются к злоумышленнику через вебхуки. Исследовав KurayStealer, специалисты заявили о волне вредоносных программ, использующих токены Discord в качестве C&C для сбора учетных данных жертв. Эксперты рекомендуют установить жесткий контроль и многоуровневые решения по обеспечению безопасности для предотвращения таких атак.
Ранее мы писали про похищение токенов Discord вредоносными JavaScript-библиотеками.Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.
Гравитация научных фактов сильнее, чем вы думаете