Преступники превращают мессенджер Discord в средство взлома Windows-компьютеров. Зловред Spidey Bot / BlueFace редактирует системные файлы приложения, чтобы похищать данные жертвы и гарантировать взломщикам скрытый доступ к управлению машиной.

Авторы зловреда пользуются тем, что Discord не проверяет целостность кода при запуске. Это позволяет им вносить изменения в системные файлы, превращая мессенджер в бэкдор.

Как работает Spidey Bot

Как выяснили эксперты, бэкдор добавляет сторонний код в файлы index.js и перезапускает Discord, чтобы изменения вступили в силу. Обновленное приложение выполняет серию команд API и JavaScript-сценариев, собирая пользовательские данные, которые затем отправляет взломщикам. В их число входят токен и IP-адрес жертвы, ее контакты и системная информация.

Зловред также проверяет, сохраняла ли жертва платежные данные, и копирует первые 50 символов из текста в буфере обмена. Последняя функция дает преступникам шанс добыть пароли к сторонним сервисам и прочую информацию, которую пользователь скопировал до атаки.

После отправки этих данных Spidey Bot / BlueFace устанавливает соединение с удаленным сервером, ожидая новых команд. В дальнейшем преступники могут использовать скомпрометированное приложение, чтобы обновлять украденную информацию, устанавливать другие вредоносные программы и отправлять компьютеру команды.

Управляющий сервер, который использовался в обнаруженных атаках, уже отключили. По словам исследователей, кампания могла подойти к концу, однако они не исключают, что преступники продолжают атаки вне поля зрения экспертов.

Как защититься пользователям Discord

На данный момент у экспертов нет точной информации о том, каким образом злоумышленники поражают Discord. Исследователь ИБ Виталий Кремез (Vitali Kremez) сообщил, что преступники могут рассылать ссылки на вредоносное ПО в самом мессенджере, однако других подробностей эксперт не раскрыл.

Важно отметить, что само заражение происходит незаметно. По данным VirusTotal, многие антивирусные программы не считают Spidey Bot / BlueFace вредоносной программой, хотя после предупреждений экспертов ситуация изменилась.

Пользователи могут самостоятельно проверить, не пополнили ли они число жертв нового зловреда. Для этого нужно открыть в «Блокноте» два файла index.js, которые хранятся в папках %AppData%\Discord\[version]\modules\discord_modules\ и %AppData%\Discord\[version]\modules\discord_desktop_core\. В оригинальном состоянии они содержат по одной строчке кода. При обнаружении любых добавлений рекомендуется переустановить Discord.

Корректное содержание index.js в папке \discord_modules

Корректное содержание index.js в папке \discord_desktop_core

Эксперты отмечают, что в нынешних условиях пользователям Discord угрожают разнообразные зловреды, которые могут менять любые JavaScript-файлы приложения. Чтобы исправить ситуацию, разработчикам советуют добавить в программу функцию проверки хэшей при запуске. Таким образом мессенджер предупредит пользователей о несанкционированных изменениях.

Ранее сообщалось об уязвимости WhatsApp, которая позволяла злоумышленникам скомпрометировать приложение с помощью специальных файлов GIF. Ошибка была связана с функцией предпросмотра многокадровых изображений и создавала угрозу исполнения стороннего кода.

Категории: Аналитика, Вредоносные программы, Уязвимости