TroubleGrabber Malware

TroubleGrabber Malware Descrizione

Il numero di minacce malware che sfruttano la piattaforma social Discord e l'applicazione di chat vocale è in costante crescita, una di queste è il Trouble Grabber Malware. Il malware Trouble Grabber è stato rilevato per la prima volta dai ricercatori che hanno monitorato gli URL degli allegati Discord pubblici per contenuti non sicuri. TroubleGrabber abusa di Discord in diversi modi, sia come consegna che come piattaforma di comunicazione Command-and-Control (C2, C&C). Un altro servizio legittimo, GitHub, viene utilizzato come repository per i payload di seconda fase forniti dalla minaccia.

La catena di attacco del TroubleGrabber Malware inizia con la consegna della minaccia al computer mirato tramite un collegamento di allegato Discord. Il collegamento porta a un archivio contenente un file eseguibile. Entrambi si mascherano come un'applicazione legittima denominata Discord Nitro Generator. Quando 'Discord Nitro Generator e Checker.exe' vengono eseguiti, procede a rilasciare cinque payload aggiuntivi sul dispositivo compromesso: Curl.exe, WebBrowserPassView.exe, Tokenstealer.vbs, Tokenstealer.bat e Sendhookfile.exe . Tutti i payload della seconda fase vengono presi da un repository GitHub e scaricati nella posizione C: \ temp.

Tokenstealer.bat è il principale coordinatore delle attività dannose della minaccia. È responsabile dell'esecuzione di alcuni payload aggiuntivi. WebBrowserPassView.exe raccoglie le password salvate in tutti i browser Web della vittima e quindi le memorizza in ' C: /temp/Passwords.txt. Utilizza Curl.exe per estrarre determinati dati sul server Discord dell'attaccante come nome utente, indirizzo IP, SystemInfo, ora e dati, nonché token appartenenti a Discord, PTB e Canary. Tokenstealer.bat si occupa anche del processo di pulizia progettato per ridurre al minimo le tracce lasciate dalle attività di TroubleGrabber eliminando "ip_address.txt", "WindowsInfo.txt", "Passwords.txt", "curl-ca-bundle.crt". File "curl.exe" e "CustomEXE.exe". Come passaggio finale, riavvia il computer compromesso.

Il repository GitHub utilizzato da TroubleGrabber appartiene a un utente denominato "Ithoublve", che sembra essere lo sviluppatore originale della minaccia. Oltre ai payload di seconda fase, il repository aveva anche un eseguibile denominato "ItroublveTSC.exe", che è un generatore per il malware e i suoi componenti. Chiunque abbia accesso al generatore può modificare la minaccia malware in base alle proprie preferenze fornendole i propri webhook Discord, inserendo un messaggio falso, scegliendo un'icona personalizzata e regolando le funzionalità aggiuntive che desiderano includere: "Crash PC '' Rimozione automatica EXE, "Riavvia Discord", "Riavvia PC", "ShutdownPC" e "EXE personalizzato".