CursedGrabber Malware
Il numero di minacce malware che sfruttano la piattaforma Discord legittima sembra proliferare. L'ultima minaccia di questo tipo rilevata dai ricercatori di infosec si chiama "xpc.js" e appartiene alla famiglia CursedGrabber Malware. Questo malware è stato rilasciato dallo stesso hacker responsabile del malware scoperto in precedenza come discord.dll, discord.application, wsbd.js e ac-addon.
Nonostante il suo nome, "xpc.js" non è un file JavaScript ma un componente npm danneggiato che prende di mira gli host Windows. Viene fornito come un archivio denominato "tar.gz" che contiene due file EXE: "lib.exe" e "lib2.exe", che vengono eseguiti tramite script di "postinstallazione" dal file manifest. "Lib.exe" è un malware infostealer che raccoglie vari tipi di dati da sistemi compromessi e li invia agli aggressori tramite webhook Discord. Le informazioni raccolte includono profili utente da diversi browser, token Discord, file Discord leveldb, ecc. La minaccia tenta persino di ottenere determinati dettagli di pagamento e informazioni di fatturazione.
Il file "lib2.exe" è un contagocce che fornisce un file ZIP danneggiato. Il nome dell'archivio scaricato e la posizione in cui è inserito sono determinati tramite un webhook hardcoded. L'archivio ZIP contiene 34 DLL e due file exe. Gli eseguibili sono denominati "osloader.exe" e "winresume.exe" e avviati da "lib2.exe" stesso. Questo malware post-infezione possiede notevoli capacità RAT (Remote Access Trojan). Può aumentare i suoi privilegi, acquisire schermate, eseguire attività di keylogging, accedere a webcam collegate, ecc.
Inoltre, stabilisce una backdoor con un'API REST in esecuzione sulla porta 20202 sulla macchina compromessa, garantendo un facile accesso all'infrastruttura Command-and-Control. Il file binario "winresume" è una versione manomessa dell'applicazione legittima "winresume.exe" che facilita il ripristino dei computer Windows che sono stati in modalità di ibernazione per periodi prolungati. L'obiettivo è nascondere il codice danneggiato in binari legittimi rendendo il rilevamento delle minacce molto più difficile.
Un'altra famiglia del malware Discord è TroubleGrabber, che, a differenza di CursedGrabber, abusa di due servizi legittimi: Discord e GitHub, come parte delle sue operazioni minacciose.
