Nowe malware o nazwie Spidey Bot (lub Blue Face) modyfikuje windowsowego klienta Discorda w taki sposób, że zamienia go w backdoora i kradnącego informacje trojana. Discord na Windowsa to aplikacja wykorzystująca platformę programistyczną Electron, bazującą na HTML, CSS i JavaScripcie. To właśnie dzięki temu malware może modyfikować jego pliki w taki sposób, że klient już podczas uruchomienia wykona szkodliwy kod.
Po pobraniu i uruchomieniu przez użytkownika komputerze plików o nazwie Blueface Reward Claimer.exe lub Synapse X.exe malware dodaje swój szkodliwy kod JavaScript w plikach %AppData%Discord[version]modulesdiscord_modulesindex.js oraz %AppData%Discord[version]modulesdiscord_desktop_coreindex.js . Malware następnie samodzielnie zatrzymuje proces Discorda i uruchamia ponownie aplikację, aby zmiany w kodzie zostały wykonane.
Po uruchomieniu zainfekowanego klienta JavaScript wykonuje komendy API Discorda i różne funkcje JavaScript celem zebrania informacji o użytkowniku, które są następnie wysyłane przez webhook Discorda do napastnika. Informacje zawierają m.in. pierwsze 50 znaków przechowywanych w danym momencie w schowku Windowsa, adres IP ofiary, dane o płatnościach (o ile są zapisane w Discordzie), token użytkownika Discorda, nick, adres e-mail, numer telefonu i wiele innych.
Po przesłaniu informacji malware wykonuje funkcję fightdio(), która pełni rolę backdoora. Dzięki niej nawiązywane jest połączenie ze zdalną witryną. Cyberprzestępca może dzięki temu wykonywać inne potencjalnie szkodliwe działania, na czele z wykonywaniem poleceń na komputerze ofiary i zdalnym instalowaniem innego rodzaju malware.
Eksperci ds. bezpieczeństwa uważają, że malware rozsyłane jest przede wszystkim poprzez Discorda. Co ciekawe, nawet po wykryciu i usunięciu plików .exe przez oprogramowanie antywirusowe, zmodyfikowane pliki Discorda pozostają zainfekowane. Jedynym sposobem na naprawę sytuacji jest deinstalacja Discorda.
Jak sprawdzić czy Discord jest zainfekowany?
Najpierw zajrzyjcie do lokalizacji %AppData%Discord[version]modulesdiscord_modules i otworzyć plik index.js za pomocą Notatnika. Plik ten powinien zawierać jedynie pojedynczą linię kodu o treści module.exports = require(’./discord_modules.node’); .
Następnie odwiedźcie lokalizację %AppData%Discord[version]modulesdiscord_desktop_core i sprawdźcie zawartość tamtejszego pliku index.js. Powinien zawierać wyłącznie linię kodu module.exports = require(’./core.asar’); .
Jeśli linie są inne lub jest ich więcej, odinstalujcie Discorda i zainstalujcie go ponownie. Najnowszą wersję programu pobierzecie za pośrednictwem naszej bazy plików.
Źródło: Bleeping Computer