KurayStealer

KurayStealer on vahingollinen uhka, joka kohdistuu Discord-käyttäjiin ja pyrkii saamaan arkaluontoisia tietoja tartunnan saaneista järjestelmistä. Tutkijoiden mukaan KurayStealer luotiin yksinkertaisella haittaohjelmien rakentajalla, jota Discord-käyttäjä mainosti nimellä "Portu". Lisäksi uhkauksen tekijä on ottanut liberaalia inspiraatiota ja varsinaista koodia muilta vastaavilta salasanavarkailta. Kuitenkin, jos se otetaan käyttöön onnistuneesti, KurayStealerin tehokkuus mahdollistaa salasanojen, tunnuksien, IP-osoitteiden ja lisätietojen keräämisen suosituista tuotteista, kuten Discordista, Chromesta, Microsoft Edgestä ja 18 muusta sovelluksesta.

Kun se suoritetaan ensimmäisen kerran, varastaja tarkistaa, käyttävätkö sen operaattorit ilmaista versiota vai maksullista (VIP) versiota. Sen seuraava askel on havaita Discordin laajennettu versio, joka tunnetaan nimellä BetterDiscord, joka tarjoaa laajennettuja toimintoja kehittäjille. KurayStealer korvaa sitten "api/webhooks"-merkkijonon "Kisses". Näin hyökkääjät voivat määrittää omia webhookejaan. Webhookit ovat mekanismi, jonka kautta web-sivut ja sovellukset voivat lähettää reaaliaikaista tietoa toisilleen HTTP:n kautta. Tämä tiedonsiirto voidaan suorittaa automaattisesti ilman vastaanottajan pyyntöä. KurayStealerin hankkimat tiedot lähetetään hyökkääjille luotujen webhookien kautta.