CursedGrabber Malware
O número de ameaças de malware que exploram a plataforma Discord legítima parece estar se proliferando. A última ameaça desse tipo a ser detectada pelos pesquisadores da infosec é chamada de 'xpc.js' e pertence à família do CursedGrabber Malware. Esse malware foi lançado pelo mesmo hacker responsável por malwares descobertos anteriormente, tais como discord.dll, discord.application, wsbd.js e ac-addon.
Apesar do nome, o 'xpc.js' não é um arquivo JavaScript, mas um componente npm corrompido que se destina ao hosts do Windows. É entregue como um arquivo denominado 'tar.gz' que contém dois arquivos EXE - o 'lib.exe' e o 'lib2.exe', que são executados por meio de scripts 'pós-instalação' do arquivo de manifesto. 'Lib.exe' é um malware infostealer que coleta vários tipos de dados de sistemas comprometidos e os envia de volta aos invasores por meio de webhooks Discord. As informações coletadas incluem perfis de usuário de vários navegadores, tokens Discord, arquivos discord leveldb, etc. A ameaça até tenta obter certos detalhes de pagamento e informações de faturamento.
O arquivo 'lib2.exe' é um dropper que entrega um arquivo ZIP corrompido. O nome do arquivo baixado e o local em que é colocado são determinados por meio de um webhook codificado. O arquivo ZIP contém 34 DLL e dois arquivos exe. Os executáveis são nomeados 'osloader.exe' e 'winresume.exe' e iniciados pelo próprio 'lib2.exe'. Este malware pós-infecção possui recursos RAT (Trojan de Acesso Remoto) significativos. Ele pode escalar seus privilégios, fazer capturas de tela, realizar atividades de keylogging, acessar webcams conectadas, etc.
Além disso, ele estabelece um backdoor com uma API REST em execução na porta 20202 na máquina comprometida, garantindo fácil acesso à infraestrutura de comando e controle. O binário 'winresume' é uma versão adulterada do aplicativo legítimo 'winresume.exe' que facilita a retomada de computadores Windows que estiveram no modo de hibernação por períodos prolongados. O objetivo é ocultar o código corrompido em binários legítimos, tornando a detecção de ameaças muito mais difícil.
Outra família de malware Discord é o TroubleGrabber que, ao contrário do CursedGrabber, abusa de dois serviços legítimos - Discord e GitHub, como parte de suas operações ameaçadoras.
