CursedGrabber Malware

Antallet af malware-trusler, der udnytter den legitime Discord-platform, ser ud til at sprede sig. Den seneste trussel af denne type, som infosec-forskere opdager, kaldes 'xpc.js' og tilhører familien CursedGrabber Malware. Dette stykke malware blev frigivet af den samme hacker, der er ansvarlig for tidligere opdaget malware, såsom discord.dll, discord.application, wsbd.js og ac-addon.

 På trods af navnet er 'xpc.js' ikke en JavaScript-fil, men en beskadiget npm-komponent, der er målrettet mod Windows-værter. Det leveres som et arkiv med navnet 'tar.gz', der indeholder to EXE-filer - 'lib.exe' og 'lib2.exe', der udføres via 'postinstall' -skripts fra manifestfilen. 'Lib.exe' er en infostealer-malware, der høster forskellige datatyper fra kompromitterede systemer og sender den tilbage til angriberne gennem Discord webhooks. De indsamlede oplysninger inkluderer brugerprofiler fra flere browsere, Discord-tokens, Discord leveldb-filer osv. Truslen forsøger endda at få visse betalingsoplysninger og faktureringsoplysninger.

 Filen 'lib2.exe' er en dropper, der leverer en beskadiget ZIP-fil. Navnet på det downloadede arkiv og placeringen, det placeres i, bestemmes gennem en hardkodet webhook. ZIP-arkivet indeholder 34 DLL og to exe-filer. Eksekverbare navne er 'osloader.exe' og 'winresume.exe' og initieret af selve 'lib2.exe'. Denne malware efter infektion har betydelige RAT-funktioner (Remote Access Trojan). Det kan eskalere sine privilegier, tage skærmbilleder, udføre keylogging-aktiviteter, få adgang til tilsluttede webkameraer osv.

Derudover etablerer den en bagdør med en REST API, der kører på port 20202 på den kompromitterede maskine, hvilket sikrer nem adgang til Command-and-Control-infrastrukturen. Den 'winresume' binære er en manipuleret version af den legitime 'winresume.exe' applikation, der letter genoptagelse af Windows-computere, der har været i dvaletilstand i længere perioder. Målet er at skjule beskadiget kode i legitime binære filer, hvilket gør afsløringen af trusler meget sværere.

 En anden familie af Discord- malware er TroubleGrabber, som i modsætning til CursedGrabber misbruger to legitime tjenester - Discord og GitHub, som en del af dets truende operationer.