Фото: www.bleepingcomputer.comСпециалисты выявили вредоносную программу Spidey Bot, которая использует легитимный клиент Discord для Windows и превращает его в средство для шпионажа и кражи информации.
Discord представляет собой Electron-приложение, и почти вся его функциональность основана на HTML, CSS и JavaScript. Это позволяет хакерам модифицировать ключевые файлы.
Так, при установке Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%\Discord\[version]\modules\discord_modules\index.js и %AppData%\Discord\[version]\modules\discord_desktop_core\index.js. Он завершит работу Discord и перезапускает программу для вступления изменений в силу.
Вредоносный JavaScript способен использовать различные команды Discord API и функции JavaScript, чтобы собирать данные о пользователе. Затем вся информация передается злоумышленнику через веб-хук Discord.
Таким образом, хакеры могут завладеть Discord-токеном пользователя; его часовым поясом; разрешением экрана; локальным IP-адресом; публичным IP-адресом (WebRTC); информацией о пользователе — именем, адресом электронной почты, номером телефона и другими данными; данными о платежной информации; user agent браузера; версией Discord; первыми 50 символами из буфера обмена.
Затем malware выполняет функцию fightdio(), которая действует как бэкдор и используется для подключения к удаленному сайту и ожидания дополнительных команд. То есть теперь хакер может украсть платежную информацию, выполнить ряд команд на машине жертвы и установить другое вредоносное ПО.
Эксперт Виталий Кремез сообщил, что в ходе заражения используются файлы с именами Blueface Reward Claimer.exe и Synapse X.exe. По его мнению, злоумышленники используют обычные сообщения в Discord для распространения вредоноса.
По данным экспертов, такого рода атаки особенно опасны, так как внешне не проявляют себя. Подозрительную активность можно заметить, лишь обнаружив странные вызовы API и веб-хуков. А защитные решения пока плохо обнаруживают malware. По информации VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.
Если же программа обнаружена и удалена, то измененные файлы Discord по-прежнему остаются зараженными и продолжают выполняться при каждом запуске клиента. Таким образом, нужно удалить приложение Discord и переустановить его. Пользователь может обнаружить зараженные файлы, открыв клиент Discord в «Блокноте». Для %AppData%\Discord\[version]\modules\discord_modules\index.js он должен содержать всего одну строку «module.exports = require ('./discord_modules.node');».
Для файла %AppData%\Discord\[version]\modules\discord_desktop_core\index.js он должен содержать только «module.exports = require ('./core.asar');».
Если любой из двух файлов содержит код, отличный от того, что показан выше, необходимо удалить и переустановить клиент.
