TroubleGrabber Malware

TroubleGrabber Malware Beschrijving

Het aantal malwarebedreigingen dat misbruik maakt van het sociale platform Discord en de voicechat-applicatie groeit gestaag, waaronder de Trouble Grabber Malware. De Trouble Grabber Malware werd voor het eerst ontdekt door onderzoekers die openbare Discord-bijlage-URL's controleerden op onveilige inhoud. TroubleGrabber misbruikt Discord op een aantal manieren, zowel als een levering en als een Command-and-Control (C2, C&C) communicatieplatform. Een andere legitieme service - GitHub, wordt gebruikt als een opslagplaats voor payloads van de tweede fase die door de dreiging worden geleverd.

De aanvalsketen van de TroubleGrabber Malware begint met de levering van de dreiging aan de beoogde computer via een Discord-bijlagekoppeling. De link leidt naar een archief met daarin een uitvoerbaar bestand. Beide deden zich voor als een legitieme applicatie genaamd Discord Nitro Generator. Wanneer de 'Discord Nitro Generator en Checker.exe' worden uitgevoerd, laat het vijf extra payloads op het gecompromitteerde apparaat vallen: Curl.exe, WebBrowserPassView.exe, Tokenstealer.vbs, Tokenstealer.bat en Sendhookfile.exe . Alle payloads van de tweede fase worden uit een GitHub-opslagplaats gehaald en gedownload naar de C: \ temp- locatie.

Tokenstealer.bat is de belangrijkste coördinator voor de schadelijke activiteiten van de dreiging. Het is verantwoordelijk voor het uitvoeren van enkele van de extra ladingen. WebBrowserPassView.exe verzamelt de wachtwoorden die zijn opgeslagen in alle webbrowsers van het slachtoffer en slaat ze vervolgens op in ' C: /temp/Passwords.txt . Het gebruikt Curl.exe om bepaalde gegevens naar de Discord-server van de aanvaller te exfiltreren, zoals gebruikersnaam, IP-adres, SystemInfo, tijd en gegevens, evenals tokens van Discord, PTB en Canary. Tokenstealer.bat zorgt ook voor het opschoningsproces dat is ontworpen om de sporen achtergelaten door TroubleGrabber's activiteiten te minimaliseren door de 'ip_address.txt', 'WindowsInfo.txt', 'Passwords.txt', 'curl-ca-bundle.crt' te verwijderen. 'curl.exe' en 'CustomEXE.exe' bestanden. Als laatste stap wordt de besmette computer opnieuw opgestart.

De GitHub-repository die door TroubleGrabber wordt gebruikt, is van een gebruiker met de naam 'Ithoublve', die de oorspronkelijke ontwikkelaar van de dreiging lijkt te zijn. Afgezien van de payloads in de tweede fase, had de repository ook een uitvoerbaar bestand genaamd 'ItroublveTSC.exe', een generator voor de malware en zijn componenten. Iedereen met toegang tot de generator kan de malwarebedreiging aanpassen aan hun voorkeuren door deze te voorzien van hun eigen Discord-webhooks, een nepbericht in te voeren, een aangepast pictogram te kiezen en aan te passen welke extra functionaliteiten ze willen opnemen - 'Crash PC'. Auto Remove EXE, '' Restart Discord, '' Restart PC, '' ShutdownPC 'en' Custom EXE. '