新的恶意软件正在散布,冒充黑客,可以免费获得高级Discord Nitro服务,但会窃取保存在各种浏览器中的用户令牌,信用卡信息,然后尝试将其分发给其他人。
当您拥有一个像Discord这样的开放平台,可以轻松地修改客户端使用的JavaScript文件时,威胁行动者通常会滥用它来修改客户端以执行恶意行为。
这些修改正是新的名为NitroHack的恶意软件所做的操作,这些恶意软件用来窃取Discord用户令牌,窃取已保存的信用卡,并通过Discord DM将恶意软件传播给您的朋友。
恶意软件将Discord客户端变成木马
上周,MalwareHunterTeam发现了一种名为NitroHack的新恶意软件,该恶意软件修改了Windows不和谐客户端,将其转变为窃取帐户的木马。
该恶意软件通过DM消息通过Discord分发给受感染用户的朋友,该消息会对其进行宣传,以免费获取高级Discord Nitro服务。
如果用户下载并启动了升级文件,NitroHack将修改%AppData%\\ Discord \ 0.0.306 \ modules \ discord_voice \ index.js文件,并将恶意代码附加到底部。它还将尝试在Discord Canary和Discord Public Test Build客户端中更改相同的JavaScript文件。
要查看已更改的内容,下面是原始的discord_voice \ index.js文件和经过恶意修改的版本。
 |
 |
通过修改客户端,恶意软件将变得持久,并在每次启动Discord客户端时将受害者的用户令牌发送到攻击者的Discord通道。
使用这些被盗的用户令牌,威胁参与者可以以受害者的身份登录Discord。
为了窃取这些令牌,NitroHack将复制Chrome,Discord,Opera,Brave,Yandex Browser,Vivaldi和Chromium的浏览器数据库,并扫描它们以查找Discord令牌。完成后,找到的令牌列表将在攻击者的控制下发布到Discord通道。
不要让Discord Web客户端的用户感到无聊,它还会对通过Web登录的用户执行恶意行为。
为了尝试窃取信用卡,恶意软件将尝试连接到https://discordapp.com/api/v6/users/@me/billing/payment-source URL,并尝试获取保存的付款信息。
然后,该恶意软件将获取受害者的所有Discord朋友的列表,并向他们发送DM,其中包含伪装为Discord Nitro服务的骇客的恶意软件的链接。
通过利用持久性,自动传播和凭证盗窃,该恶意软件在快速建立广泛的受害者基础方面变得非常有效。
不幸的是,像这样的Discord恶意软件正变得越来越普遍。
上个月,我们报告了一个新版本的AnarchyGrabber恶意软件,该软件正在修改Discord客户端以执行恶意活动。
使Discord修改恶意软件如此有效的原因在于,大多数人甚至都不知道自己受到了影响
由于恶意软件执行各种活动,感染客户端,然后不再运行,因此更新的恶意软件定义可能无法检测到它。
即使防病毒软件检测到Nitro Hack可执行文件,也不太可能检测到客户端修改,该修改将继续运行,直到新的Discord更新覆盖它们为止。
如何检查您的Discord客户端是否被感染
如果您担心自己可能被感染,则可以使用记事本打开 %AppData%\\ Discord \ 0.0.306 \ modules \ discord_voice \ index.js ,并确保文件末尾没有任何修改。
普通的,未经修改的文件将以以下行结尾:
module.exports = VoiceEngine;如果客户端之后还有其他任何内容,并且您没有故意进行修改,则很可能是您的客户端被感染了。
删除NitroHack的唯一方法是从index.js文件中删除有问题的代码,这可以手动完成,也可以通过卸载Discord客户端并重新安装来完成。
*编译:Domino
*来自:bleepingcomputer