Abaddon RAT

Embora a exploração do aplicativo VoIP e da plataforma de distribuição digital Discord não seja uma ocorrência comum, não é nada novo para os hackers que criam ferramentas de malware. No passado, eles usaram o Discord como uma plataforma de hospedagem de malware ou um serviço de distribuição. Um tipo específico de malware chamado Spidey Bot foi criado para modificar o aplicativo cliente do Windows Discord e transformá-lo em um ladrão de informações especificamente. Em outros casos, invasores malvados abusaram do recurso Webhooks, uma ferramenta útil que permite que sites ou aplicativos de terceiros enviem mensagens para canais Discord, como um local para colocar os dados coletados de usuários comprometidos.

No entanto, um novoTrojan de Acesso Remoto (RAT) chamado Abaddon está usando o Discord como um servidor de comando e controle (C2, C&C) completo, algo que os pesquisadores da infosec não viram antes.

Assim que o Abaddon se infiltra no computador visado, ele executa os seus procedimentos de coleta de dados. O RAT é capaz de obter dados confidenciais, como detalhes de cartão de crédito / débito, cookies do Chrome e credenciais, bem como várias informações do sistema, incluindo detalhes de hardware, endereço IP e país. O malware então segue para o aplicativo Steam, se estiver instalado no dispositivo comprometido, e coleta as credenciais de login e a lista de jogos. Por fim, Abaddon acessa tokens Discord e informações de autenticação multifator (MFA).

Uma vez que o conjunto inicial de coleta de dados esteja completo, o RAT tenta estabelecer uma conexão com o servidor Discord C&C para comandos adicionais. Uma verificação é feita a cada 10 segundos para novas instruções. Os hackers podem iniciar cinco funcionalidades diferentes do Abaddon enviando os comandos apropriados. Eles podem obter uma lista de todas as unidades conectadas ao computador infectado, exfiltrar arquivos ou diretórios inteiros, executar comandos arbitrários por meio de um shell reverso, carregar todos os dados coletados pelo Abaddon e limpar os logs existentes. A capacidade ameaçadora final do Abaddon é agir como uma ameaça de ransomware, embora esse 'recurso' específico ainda esteja sendo desenvolvido pelos hackers. Os pesquisadores do MalwareHunterTeam, que analisaram o Abaddon, descobriram que a nota de resgate entregue pelo malware é apenas um espaço reservado para o momento. Criptografar os arquivos armazenados no computador da vítima e depois exigir dinheiro para sua restauração é uma tática lucrativa empregada por cibercriminosos, e não seria tão surpreendente se os recursos de ransomware do Abaddon fossem liberados em apenas um curto período de tempo.