Pull to refresh

Клиент Discord модифицировали для кражи аккаунтов

Information SecurityDevelopment for Windows
imageФото: www.bleepingcomputer.com

В клиенте Discord начало распространяться новое вредоносное ПО NitroHack. Оно позволяет красть учетные записи. Распространение этого ПО стало возможным благодаря изменениям файлов JavaScript, используемых клиентом.

Пользователям приходит сообщение с предложением о бесплатной премиальной услуге Discord Nitro. Когда пользователь открывает файл, ПО крадет токены, сохраненные в различных браузерах, а также информацию о кредитной карте и прочие данные. Вредонос распространяется через зараженные аккаунты, используя их контакты, путем личных сообщений друзьям.

imageФото: www.bleepingcomputer.com

В MalwareHunterTeam, которая обнаружила ПО на прошлой неделе, объяснили, как это работает. Если пользователь загружает переданный ему файл и запускает его, NitroHack изменит % AppData%\\Discord\0.0.306\modules\discord_voice\index.js и добавит снизу вредоносный код. Он пытается изменить один и тот же файл JavaScript в клиентах Discord Canary и Discord Public Test Build.

Ниже приведены оригинальный файл discord_voice\index.js и его измененная версия:

image imageФото: www.bleepingcomputer.com

Путем модификации файла вредоносная программа сможет отправлять токены жертвы на Discord-канал атакующего каждый раз, когда пользователь запускает клиент.

NitroHack копирует базы данных Chrome, Discord, Opera, Brave, Яндекс Браузер, Vivaldi и Chromium и сканирует их на наличие токенов Discord.

imageФото: www.bleepingcomputer.com

Чтобы попытаться украсть данные кредитных карт, вредоносная программа пытается подключиться к URL-адресу discordapp.com/api/v6/users/@me/billing/payment-source и получить сохраненную информацию о платеже.

Ранее ИБ-эксперты обнаружили новую версию вредоносного ПО AnarchyGrabber, которое также модифицировало клиент Discord для выполнения вредоносной деятельности. Оно воровало пароли пользователей, а затем использовало их аккаунты для дальнейшего распространения.

Прошлой осенью специалисты выявили вредоносную программу Spidey Bot, которая также путем модификации ключевых файлов позволяла использовать клиент Discord для шпионажа и кражи информации. Таким образом, хакеры могли украсть платежную информацию, выполнить ряд команд на машине жертвы и установить другое вредоносное ПО.

Исследователи видят опасность такого поведения в том, что вредонос путем цепочки действий заражает клиент, но затем не запускается снова, и определители вредоносного софта могут просто не обнаружить его. Даже если антивирус найдет исполняемый файл Nitro Hack, маловероятно, что он обнаружит модификацию клиента.

Чтобы проверить, не заражен ли клиент Discord, нужно открыть %AppData%\\Discord\0.0.306\modules\discord_voice\index.js в Блокноте и убедиться, что в конце файла нет изменений. Обычный немодифицированный файл заканчивается следующей строкой: module.exports = VoiceEngine;

Удалить вредоносный код из файла index.js можно вручную. Либо необходимо переустановить сам клиент Discord.
См. также:

Tags:discordtrojanjavascriptклиентывредоносное покража данных
Hubs: Information Security Development for Windows
Total votes 15: ↑15 and ↓0 +15
Views11.4K

Comments 14

Only those users with full accounts are able to leave comments. Log in, please.

Popular right now

Data Science Cloud Engineer (remote)
from 200,000 to 300,000 ₽Bergmann InfotechRemote job
JavaScript разработчик
from 75,000 to 180,000 ₽WebLab TechnologyRemote job
Senior .NET Core Developer
to 350,000 ₽IT X100Remote job
DBA | Администратор баз данных
from 200,000 to 300,000 ₽СберМосква
Data Science Cloud Administrator (remote)
from 200,000 to 300,000 ₽Bergmann InfotechRemote job