Netskope安全研究人员发现了一种新的凭据窃取者TroubleGrabber,它通过Discord附件进行传播,并使用Discord Webhooks将窃取的信息传递给其操作员。
一些威胁行为者使用新的信息窃取程序来针对Discord服务器上的游戏玩家,并窃取其密码和其他敏感信息。
它的功能类似于配成AnarchyGrabber [另一恶意软件应变1,2,3 ],感染不和谐的用户,也可用于收获凭证和禁用受害者的双因素认证(2FA)。
Netskope于2020年10月在收集先前报告的数据时发现了信息窃取者,在10月份针对Discord的1,650种恶意软件样本中,TroubleGrabber样本(检测为Razy变体)构成了85%以上。
恶意软件攻击流程
一旦受害者感染了TroubleGrabber,Discord和Github都可以将下一阶段的有效负载下载到C:/ temp文件夹。
该恶意软件还使用Discord Webhooks与它的命令和控制(C2)服务器进行通信并发送受害者的被盗信息。
TroubleGrabber窃取了许多重要信息,包括“ Web浏览器令牌,Discord Webhook令牌,Web浏览器密码和系统信息”。
恶意软件通过使用Discord Webhooks的聊天消息将所有收集到的信息发送到攻击者的Discord服务器。
该恶意软件是由威胁者创建的,该威胁者的名字为Itroublve。TroubleGrabber的作者当前运行的Discord服务器拥有500多名成员,并在其公共GitHub帐户上托管下一阶段的有效负载和恶意软件生成器。
Netskope还发现,该用户已使用YouTube教程了解如何使用TroubleGrabber设置自己的Discord服务器来托管恶意软件。
传播技术
TroubleGrabber众所周知,主要是通过Discord附件链接使用偷渡式下载将其传送到受害者的计算机上的。
Netskope说:“我们确定了1000多个生成的二进制文件,这些文件是通过开车下载URL分发的,文件名冒充游戏作弊,Discord安装程序和软件破解。”
该恶意软件通过Discord在97.8%的检测到的感染中进行了分发,“其中少量通过anonfiles.com和onymousfiles.io分发,这些服务允许用户匿名上传文件并免费生成公共下载链接。”
在某些情况下,信息窃取者还会在700多个不同Discord服务器通道ID的Discord用户中传播。
Netskope总结说:“基于文件名和传送机制,TroubleGrabber正积极地用于瞄准游戏玩家。”
Netskope的威胁实验室于11月10日与Discord,GitHub,YouTube,Facebook,Twitter和Instagram(攻击者使用了这些平台)共享了TroubleGrabber危害指标(IOC)。
*编译:Domino
*来自:bleepingcomputer