Популярный сервис для общения стал идеальным каналом утечки данных.
Эксперты из компании ASEC выявили новый троян, который представляет собой серьёзную угрозу. Речь идёт о программе удалённого доступа под названием PySilon, использующей популярную платформу Discord для закрепления на заражённых устройствах.
Discord, изначально созданный для геймеров, сегодня охватывает широкий спектр пользователей и сообществ благодаря удобным функциям общения в реальном времени. Однако гибкость API Discord также открывает возможности для использования платформы в зловредных целях. Так, боты, работающие через данный API, могут автоматизировать серверные задачи — от управления до воспроизведения музыки, но в руках злоумышленников становятся инструментом атак.
троян PySilon использует этот потенциал, внедряя себя через Discord-бота. Его исходный код, находящийся в свободном доступе на GitHub, настораживает специалистов, поскольку упрощает распространение и настройку зловредных программ для любых желающих.
PySilon оснащён специальной утилитой для создания вредоносного ПО, позволяющей настроить параметры, такие как идентификатор сервера и токен бота. Эти данные вписываются в код на Python и компилируются в исполняемый файл. При запуске на ПК жертвы PySilon создаёт новый канал на сервере атакующего и отправляет туда информацию о системе, в том числе IP-адрес.
Для закрепления на системе троян копирует себя в папку пользователя и вносит изменения в реестр Windows, чтобы запускаться при старте системы. Кроме того, PySilon имеет защиту от работы в виртуальных машинах, что позволяет ему избегать анализа в тестовой среде.
Среди команд, доступных злоумышленнику, например, — «Grab», с помощью которой извлекаются личные данные жертвы: токены Discord, история браузера, файлы cookies и пароли. Также троян может записывать экран и аудио, используя популярные Python-библиотеки, и фиксировать нажатия клавиш.
Более того, PySilon поддерживает шифрование файлов с применением алгоритма Fernet, создавая зашифрованные копии документов. Однако, в отличие от типичных программ-вымогателей, троян не оставляет требования выкупа.
Открытый код PySilon позволяет злоумышленникам внедрять его в безобидных, на первый взгляд, ботов. Поскольку данные передаются через официальные серверы Discord, выявить угрозу для пользователей становится сложнее.
Растущая популярность подобных проектов, доступных в открытом доступе, указывает на усиление угроз в киберпространстве, что подчёркивают необходимость повышения цифровой бдительности и разработки новых методов защиты.
Спойлер: мы раскрываем их любимые трюки