TroubleGrabber Malware

O número de ameaças de malware que exploram a plataforma social Discord e o aplicativo de bate-papo por voz está crescendo continuamente, sendo uma delas o TroubleGrabber Malware. O TroubleGrabber Malware foi detectado pela primeira vez por pesquisadores que monitoraram URLs de anexos públicos do Discord em busca de conteúdo não seguro. O TroubleGrabber abusa do Discord de várias maneiras, tanto como plataforma de comunicação de entrega quanto de comando e controle (C2, C&C). Outro serviço legítimo - o GitHub, é usado como repositório para cargas úteis de segundo estágio entregues pela ameaça.

A cadeia de ataque do TroubleGrabber Malware começa com a entrega da ameaça ao computador de destino por meio de um link de anexo do Discord. O link leva a um arquivo contendo um arquivo executável. Ambos se mascaram como um aplicativo legítimo chamado Discord Nitro Generator. Quando o 'Discord Nitro Generator e Checker.exe' são executados, ele continua a descartar cinco cargas adicionais no dispositivo comprometido - Curl.exe, WebBrowserPassView.exe, Tokenstealer.vbs, Tokenstealer.bat e Sendhookfile.exe . Todas as cargas úteis do segundo estágio são obtidas de um repositório GitHub e baixadas para o local C: \ temp .

Tokenstealer.bat é o principal coordenador das atividades prejudiciais da ameaça. É responsável por executar algumas das cargas adicionais. WebBrowserPassView.exe coleta as senhas salvas em todos os navegadores da Web da vítima e as armazena no 'C:/temp/Passwords.txt .' Ele usa o Curl.exe para exfiltrar certos dados para o servidor Discord do invasor, como nome de usuário, endereço IP, SystemInfo, hora e dados, bem como tokens pertencentes ao Discord, PTB e Canary. Tokenstealer.bat também cuida do processo de limpeza projetado para minimizar os traços deixados pelas atividades do TroubleGrabber, excluindo o 'ip_address.txt,' 'WindowsInfo.txt', 'Passwords.txt', 'curl-ca-bundle.crt', Arquivos 'curl.exe' e 'CustomEXE.exe' . Como etapa final, ele reinicia o computador comprometido.

O repositório GitHub usado por TroubleGrabber pertence a um usuário chamado 'Ithoublve', que parece ser o desenvolvedor original da ameaça. Além das cargas úteis de segundo estágio, o repositório também tinha um executável chamado 'ItroublveTSC.exe,' que é um gerador para o malware e seus componentes. Qualquer pessoa com acesso ao gerador pode ajustar a ameaça de malware de acordo com suas preferências, fornecendo-lhe seus próprios webhooks Discord, inserindo uma mensagem falsa, escolhendo um ícone personalizado e ajustando as funcionalidades adicionais que desejam incluir - 'Crash PC', 'Remoção automática de EXE', 'Reiniciar Discord,' Reiniciar PC', 'ShutdownPC 'e EXE personalizado.'