CursedGrabber Malware
Het aantal malwarebedreigingen dat het legitieme Discord-platform misbruikt, lijkt zich snel te verspreiden. De nieuwste dreiging van dit type die door infosec-onderzoekers wordt gedetecteerd, heet 'xpc.js' en behoort tot de CursedGrabber Malware-familie. Dit stukje malware is vrijgegeven door dezelfde hacker die verantwoordelijk was voor eerder ontdekte malware zoals discord.dll, discord.application, wsbd.js en ac-addon.
Ondanks zijn naam is 'xpc.js' geen JavaScript-bestand, maar een beschadigd npm-onderdeel dat zich richt op Windows-hosts. Het wordt geleverd als een archief met de naam 'tar.gz' dat twee EXE-bestanden bevat - de 'lib.exe' en 'lib2.exe', die worden uitgevoerd via 'postinstall'-scripts uit het manifestbestand. 'Lib.exe' is een infostealer-malware die verschillende gegevenstypen van gecompromitteerde systemen verzamelt en deze via Discord-webhooks terugstuurt naar de aanvallers. De verzamelde informatie omvat gebruikersprofielen van verschillende browsers, Discord-tokens, Discord-leveldb-bestanden, enz. De dreiging probeert zelfs bepaalde betalingsgegevens en factuurinformatie te verkrijgen.
Het 'lib2.exe'-bestand is een druppelaar die een beschadigd ZIP-bestand levert. De naam van het gedownloade archief en de locatie waar het wordt geplaatst, worden bepaald via een hardgecodeerde webhook. Het ZIP-archief bevat 34 DLL- en twee EXE-bestanden. De uitvoerbare bestanden hebben de naam 'osloader.exe' en 'winresume.exe' en worden geïnitieerd door 'lib2.exe' zelf. Deze malware na infectie beschikt over aanzienlijke RAT-mogelijkheden (Remote Access Trojan). Het kan zijn privileges verhogen, screenshots maken, keylogging-activiteiten uitvoeren, toegang krijgen tot aangesloten webcams, enz.
Bovendien creëert het een achterdeur met een REST API die draait op poort 20202 op de gecompromitteerde machine, waardoor gemakkelijke toegang tot de Command-and-Control-infrastructuur wordt gegarandeerd. Het 'winresume'-binaire bestand is een geknipte versie van de legitieme' winresume.exe'-applicatie die het hervatten van Windows-computers die gedurende langere perioden in de slaapstand hebben gestaan, vergemakkelijkt. Het doel is om beschadigde code in legitieme binaire bestanden te verbergen, waardoor het veel moeilijker wordt om bedreigingen te detecteren.
Een andere familie van de Discord- malware is TroubleGrabber, die, in tegenstelling tot CursedGrabber, twee legitieme services - Discord en GitHub - misbruikt als onderdeel van zijn bedreigende operaties.
