Abaddon RAT

Hoewel misbruik van de VoIP-applicatie en het digitale distributieplatform Discord niet vaak voorkomt, is het niets nieuws voor de hackers die malwaretools maken. In het verleden hebben ze Discord gebruikt als een malware-hostingplatform of een distributiedienst. Een bepaald stuk malware genaamd Spidey Bot is gemaakt om de Windows Discord-toepassingsclient te wijzigen en deze specifiek in een informatie-stealer te veranderen. In andere gevallen maakten kwaadaardige aanvallers misbruik van de Webhooks-functie, een handige tool waarmee websites of applicaties van derden berichten kunnen bezorgen aan Discord-kanalen, als een plek om verzamelde gegevens van gecompromitteerde gebruikers te laten vallen.

Een nieuwe Remote Access Trojan (RAT) genaamd Abaddon gebruikt Discord echter als een volwaardige Command-and-Control-server (C2, C&C), iets dat infosec-onderzoekers nog niet eerder hebben gezien.

Zodra Abaddon de beoogde computer infiltreert, voert het zijn gegevensverzamelingsprocedures uit. De RAT is in staat om gevoelige gegevens te verkrijgen, zoals creditcard- / betaalpasgegevens, Chrome-cookies en inloggegevens, evenals verschillende systeeminformatie, waaronder hardwaregegevens, IP-adres en land. De malware gaat vervolgens door naar de Steam-applicatie, als deze op het gecompromitteerde apparaat is geïnstalleerd, en verzamelt de inloggegevens en een lijst met games. Ten slotte heeft Abaddon toegang tot Discord-tokens en informatie over multifactor-authenticatie (MFA).

Zodra de eerste set van gegevensverzameling is voltooid, probeert de RAT een verbinding tot stand te brengen met de Discord C & C-server voor aanvullende opdrachten. Elke 10 seconden wordt gecontroleerd op nieuwe instructies. De hackers kunnen vijf verschillende Abaddon-functionaliteiten initiëren door de juiste commando's te sturen. Ze kunnen een lijst krijgen van alle schijven die op de geïnfecteerde computer zijn aangesloten, bestanden of hele mappen exfiltreren, willekeurige opdrachten uitvoeren via een omgekeerde shell, alle gegevens uploaden die door Abaddon zijn verzameld en de bestaande logboeken wissen. Abaddon's laatste bedreigende vermogen is om op te treden als een ransomware-bedreiging, hoewel deze specifieke 'functie' nog steeds wordt ontwikkeld door de hackers. De onderzoekers van MalwareHunterTeam, die Abaddon analyseerden, ontdekten dat het losgeldbriefje dat door de malware wordt afgeleverd op dit moment slechts een tijdelijke aanduiding is. Het versleutelen van de bestanden die op de computer van het slachtoffer zijn opgeslagen en vervolgens geld vragen voor hun herstel, is een lucratieve tactiek die wordt gebruikt door cybercriminelen, en het zou niet zo verwonderlijk zijn als de ransomwaremogelijkheden van Abaddon in korte tijd worden ontketend.