Abaddon RAT

Sebbene lo sfruttamento dell'applicazione VoIP e della piattaforma di distribuzione digitale Discord non sia un evento comune, non è una novità per gli hacker che creano strumenti malware. In passato, hanno utilizzato Discord come piattaforma di hosting di malware o servizio di distribuzione. Un particolare malware chiamato Spidey Bot è stato creato per modificare il client dell'applicazione Windows Discord e trasformarlo in un ladro di informazioni in particolare. In altri casi, gli aggressori malvagi hanno abusato della funzione Webhook, uno strumento utile che consente a siti Web o applicazioni di terze parti di consegnare messaggi ai canali Discord, come luogo in cui rilasciare i dati raccolti dagli utenti compromessi.

Tuttavia, un nuovo Trojan di accesso remoto (RAT) denominato Abaddon utilizza Discord come un server Command-and-Control (C2, C&C) a tutti gli effetti, qualcosa che i ricercatori di infosec non hanno mai visto prima.

Una volta che Abaddon si infiltra nel computer di destinazione, esegue le procedure di raccolta dati. Il RAT è in grado di ottenere dati sensibili come dettagli di carte di credito / debito, cookie Chrome e credenziali, nonché varie informazioni di sistema, inclusi dettagli hardware, indirizzo IP e paese. Il malware passa quindi all'applicazione Steam, se installata sul dispositivo compromesso, e raccoglie le credenziali di accesso e l'elenco dei giochi. Infine, Abaddon accede ai token Discord e alle informazioni di autenticazione a più fattori (MFA).

Una volta completato il set iniziale di raccolta dei dati, il RAT tenta di stabilire una connessione con il server Discord C&C per comandi aggiuntivi. Ogni 10 secondi viene effettuato un controllo per le nuove istruzioni. Gli hacker possono avviare cinque diverse funzionalità di Abaddon inviando i comandi appropriati. Possono ottenere un elenco di tutte le unità collegate al computer infetto, estrarre file o intere directory, eseguire comandi arbitrari tramite una shell inversa, caricare tutti i dati raccolti da Abaddon e cancellare i log esistenti. L'ultima capacità minacciosa di Abaddon è quella di agire come una minaccia ransomware, sebbene questa particolare "funzionalità" sia ancora in fase di sviluppo da parte degli hacker. I ricercatori di MalwareHunterTeam, che hanno analizzato Abaddon, hanno scoperto che la richiesta di riscatto consegnata dal malware è solo un segnaposto per il momento. Crittografare i file archiviati sul computer della vittima e quindi richiedere denaro per il loro ripristino è una tattica redditizia impiegata dai criminali informatici e non sarebbe così sorprendente se le capacità di ransomware di Abaddon venissero liberate in un breve lasso di tempo.