Abaddon RAT

Mens udnyttelse af VoIP-applikationen og den digitale distributionsplatform Discord ikke er en almindelig begivenhed, er det ikke noget nyt for hackere, der opretter malware-værktøjer. Tidligere har de brugt Discord som en malware-hostingsplatform eller en distributionstjeneste. Et bestemt stykke malware kaldet Spidey Bot blev oprettet for at ændre Windows Discord-applikationsklienten og gøre det til en infostjæler specifikt. I andre tilfælde misbrugte onde angribere Webhooks-funktionen, et nyttigt værktøj, der gør det muligt for websteder eller tredjepartsapplikationer at levere meddelelser til Discord-kanaler som et sted at droppe indsamlede data fra kompromitterede brugere.

En ny Remote Access Trojan (RAT) ved navn Abaddon bruger dog Discord som en fuldt udbygget Command-and-Control (C2, C&C) server, noget som forskere fra infosec ikke har set før.

Når Abaddon har infiltreret den målrettede computer, udfører den sine dataindsamlingsprocedurer. RAT er i stand til at indhente følsomme data såsom kredit- / betalingskortoplysninger, Chrome-cookies og legitimationsoplysninger samt forskellige systemoplysninger, herunder hardwareoplysninger, IP-adresse og land. Malware går derefter videre til Steam-applikationen, hvis den er installeret på den kompromitterede enhed og indsamler loginoplysningerne og listen over spil. Endelig får Abaddon adgang til Discord-tokens og multifactor authentication (MFA) information.

Når det første sæt dataindsamling er afsluttet, forsøger RAT at etablere en forbindelse med Discord C & C-serveren for yderligere kommandoer. En kontrol foretages hvert 10. sekund for nye instruktioner. Hackerne kan starte fem forskellige Abaddon-funktioner ved at sende de relevante kommandoer. De kan få en liste over alle de drev, der er tilsluttet den inficerede computer, exfiltrere filer eller hele kataloger, køre vilkårlige kommandoer gennem en omvendt shell, uploade alle data indsamlet af Abaddon og rydde de eksisterende logfiler. Abaddons sidste truende evne er at fungere som en ransomware-trussel, selvom denne særlige 'funktion' stadig er under udvikling af hackerne. Forskerne ved MalwareHunterTeam, der analyserede Abaddon, fandt ud af, at løsesumnoten, der blev leveret af malware, bare er en pladsholder for øjeblikket. At kryptere de filer, der er gemt på ofrets computer og derefter kræve penge til deres gendannelse, er en lukrativ taktik, der anvendes af cyberkriminelle, og det ville ikke være så overraskende, hvis Abaddons ransomwarefunktioner frigøres på kort tid.