TroubleGrabber Malware
Antallet af malware-trusler, der udnytter Discord sociale platform og stemmechatapplikation, vokser støt, hvor en af dem er Trouble Grabber Malware. Trouble Grabber Malware blev først opdaget af forskere, der overvågede offentlige Discord-vedhæftede webadresser for usikkert indhold. TroubleGrabber misbruger Discord på en række måder, både som en leverings- og en Command-and-Control (C2, C&C) kommunikationsplatform. En anden legitim tjeneste - GitHub, bruges som et lager for anden-trins nyttelast leveret af truslen.
Angrebskæden af TroubleGrabber Malware begynder med levering af truslen til den målrettede computer via et Discord-vedhæftningslink. Linket fører til et arkiv, der indeholder en eksekverbar fil. Begge maskerer som en legitim applikation ved navn Discord Nitro Generator. Når 'Discord Nitro Generator and Checker.exe' bliver udført, fortsætter det med at tabe yderligere fem nyttelast på den kompromitterede enhed - Curl.exe, WebBrowserPassView.exe, Tokenstealer.vbs, Tokenstealer.bat og Sendhookfile.exe . Alle anden-trins nyttelast hentes fra et GitHub-lager og downloades til C: \ temp- placeringen.
Tokenstealer.bat er hovedkoordinator for de skadelige aktiviteter i truslen. Det er ansvarligt for at udføre nogle af de ekstra nyttelast. WebBrowserPassView.exe høster de adgangskoder, der er gemt i alle ofrets webbrowsere og gemmer dem derefter i ' C: /temp/Passwords.txt . Det bruger Curl.exe til at exfiltrere bestemte data til angriberens Discord-server såsom brugernavn, IP-adresse, SystemInfo, tid og data samt tokens, der tilhører Discord, PTB og Canary. Tokenstealer.bat tager sig også af oprydningsprocessen designet til at minimere sporene efter TroubleGrabbers aktiviteter ved at slette 'ip_address.txt', 'WindowsInfo.txt,' 'Passwords.txt,' 'curl-ca-bundle.crt,' 'curl.exe' og 'CustomEXE.exe' filer. Som et sidste trin genstarter den den kompromitterede computer.
GitHub-lageret, der bruges af TroubleGrabber, tilhører en bruger ved navn 'Ithoublve', der ser ud til at være trusselens oprindelige udvikler. Bortset fra nyttetrins nyttelast havde lageret også en eksekverbar navn 'ItroublveTSC.exe', som er en generator til malware og dens komponenter. Enhver med adgang til generatoren kan tilpasse malwaretruslen i henhold til deres præferencer ved at forsyne den med deres egne Discord-webhooks, indtaste en falsk besked, vælge et brugerdefineret ikon og justere, hvilke yderligere funktioner de vil medtage - 'Crash PC,' ' Fjern EXE automatisk, '' Genstart diskord, '' Genstart pc, '' ShutdownPC '' og 'Brugerdefineret EXE.'
