15/05/22
23 апреля 2022 года пользователь Discord под ником Portu начал рекламировать новый конструктор вредоносных программ для кражи паролей. Спустя четыре дня специалисты из компании Uptycs обнаружили первый образец вредоносного ПО, созданного в конструкторе Portu, который исследователи назвали KurayStealer.
По данным экспертов, вредоносная программа использовалась для атак на пользователей Discord, пишут в Securitylab. Специалисты отметили, что автор KurayStealer вдохновлялся кодом других конструкторов вредоносного ПО, не стесняясь брать разные компоненты программ для кражи паролей из открытых источников по типу GitHub.
Принцип работы вредоноса прост: При первом запуске KurayStealer выполняет проверку, чтобы определить, использует ли злоумышленник бесплатную или "VIP" (платную) версию. Затем стилер пытается заменить строку "api/webhooks" на "Kisses" в BetterDiscord – расширенной версии приложения Discord, обладающей большей функциональностью для разработчиков. Если это действие будет успешным, хакер сможет нарушить защиту приложения и настроить вебхуки.
Вебхук – это механизм, с помощью которого веб-страницы и приложения могут передавать друг другу данные в режиме реального времени по протоколу HTTP. Они похожи на API, с той лишь разницей, что вебхуки отправляют информацию автоматически, без необходимости запроса со стороны получателя.
После настройки вебхуков вредоносная программа делает снимок экрана и определяет географическое положение устройства жертвы. Затем она начинает поиск учетных данных: запрашивает пароли, токены, IP-адреса и многое другое из Discord, Microsoft Edge, Chrome и 18 других приложений. Все данные, собранные в ходе этого процесса, возвращаются к злоумышленнику через вебхуки. Исследовав KurayStealer, специалисты заявили о волне вредоносных программ, использующих токены Discord в качестве C&C для сбора учетных данных жертв. Эксперты рекомендуют установить жесткий контроль и многоуровневые решения по обеспечению безопасности для предотвращения таких атак.
Ранее мы писали про похищение токенов Discord вредоносными JavaScript-библиотеками.Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.
