KurayStealer

KurayStealer is een schadelijke dreiging die gericht is op Discord-gebruikers en is bedoeld om gevoelige informatie van de geïnfecteerde systemen te verkrijgen. Volgens onderzoekers is KurayStealer gemaakt met behulp van een eenvoudige malware-builder die door een Discord-gebruiker werd geadverteerd als 'Portu'. Bovendien heeft de auteur van de dreiging liberale inspiratie en daadwerkelijke code geput uit andere soortgelijke wachtwoordstelers. Als KurayStealer echter met succes wordt ingezet, kan het wachtwoorden, tokens, IP-adressen en aanvullende gegevens verzamelen van populaire producten, zoals Discord, Chrome, Microsoft Edge en 18 andere toepassingen.

Wanneer het voor het eerst wordt uitgevoerd, zal de stealer controleren of zijn operators de gratis versie of de betaalde (VIP) versie gebruiken. De volgende stap is het detecteren van de uitgebreide versie van Discord, bekend als BetterDiscord, die uitgebreide functionaliteit biedt voor ontwikkelaars. KurayStealer zal dan de 'api/webhooks' string vervangen door 'Kisses'. Hierdoor kunnen de aanvallers hun eigen webhooks opzetten. Webhooks zijn een mechanisme waarmee webpagina's en applicaties realtime gegevens naar elkaar kunnen verzenden via HTTP. Deze gegevensoverdracht kan automatisch worden uitgevoerd, zonder dat hiervoor eerst een verzoek van de ontvanger nodig is. De door KurayStealer verkregen gegevens worden via aangemaakte webhooks naar de aanvallers gestuurd.