ΑρχικήsecurityΝέο malware RAT λαμβάνει εντολές μέσω του Discord!

Νέο malware RAT λαμβάνει εντολές μέσω του Discord!

Το νέο trojan απομακρυσμένης πρόσβασης «Abaddon» μπορεί να είναι το πρώτο που χρησιμοποιεί το Discord ως πλήρη command and control server που δίνει εντολή στο malware σχετικά με τις εργασίες που πρέπει να εκτελέσει σε έναν μολυσμένο υπολογιστή. Ακόμα χειρότερα, μια δυνατότητα ransomware αναπτύσσεται για το malware.

Δεν είναι η πρώτη φορά που κάποιοι επιτιθέμενοι χρησιμοποιούν το Discord για κακόβουλες δραστηριότητες.

Στο παρελθόν, έχουμε αναφέρει τον τρόπο με τον οποίο οι απειλητικοί παράγοντες χρησιμοποιούν το Discord ως κλεμμένο “data drop” ή έχουν δημιουργήσει malware που τροποποιεί τον Discord client ώστε να κλέψει credentials και άλλες πληροφορίες.

Discord

Το RAT χρησιμοποιεί το Discord ως πλήρη C2 server

Ένα νέο «Abaddon» trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε από την MalwareHunterTeam, θα μπορούσε να είναι το πρώτο malware που χρησιμοποιεί το Discord ως έναν πλήρη command and control server.

Ένας command and control server (C2) είναι ένας απομακρυσμένος host από τον οποίο το malware λαμβάνει εντολές για να εκτελέσει σε κάποιον μολυσμένο υπολογιστή.

Όταν ξεκινήσει να λειτουργεί, το Abaddon θα κλέψει αυτόματα τα ακόλουθα δεδομένα από έναν μολυσμένο υπολογιστή:

Discord
  • Tokens του Discord και MFA πληροφορίες.
  • Λίστες αρχείων
  • Πληροφορίες συστήματος, όπως χώρα, διεύθυνση IP και πληροφορίες hardware.

Στη συνέχεια, το Abaddon θα συνδεθεί στον command and control server του Discord για να ελέγξει αν θα εκτελεστούν νέες εντολές, όπως φαίνεται στην παρακάτω εικόνα.

Discord

Αυτές οι εντολές θα λένε στο malware να εκτελέσει μία από τις ακόλουθες εργασίες:

  • Κλέψε ένα αρχείο ή ολόκληρα directories από τον υπολογιστή
  • Λάβε μια λίστα των drive
  • Ανοίξε ένα reverse shell – που θα επιτρέπει στον εισβολέα να εκτελεί εντολές στον μολυσμένο υπολογιστή.
  • Κάνε εκκίνηση του ransomware σε ανάπτυξη.
  • Στείλε πίσω τυχόν συλλεγόμενες πληροφορίες και διέγραψε την υπάρχουσα συλλογή δεδομένων.

Το κακόβουλο λογισμικό θα συνδέεται στο C2 κάθε δέκα δευτερόλεπτα για την εκτέλεση νέων εργασιών.

Χρησιμοποιώντας έναν “Discord C2 server”, ο απειλητικός παράγοντας μπορεί να παρακολουθεί συνεχώς τη συλλογή μολυσμένων των υπολογιστών για νέα δεδομένα και να εκτελεί περαιτέρω εντολές ή κακόβουλα προγράμματα στον υπολογιστή.

Ανάπτυξη ενός βασικού ransomware

Μία από τις εργασίες που μπορούν να εκτελεστούν από το malware είναι η κρυπτογράφηση του υπολογιστή με ransomware και η αποκρυπτογράφηση των αρχείων μετά την πληρωμή των λύτρων.

Αυτή η δυνατότητα βρίσκεται σε εξέλιξη καθώς το template του σημειώματος για λύτρα περιέχει filler καθώς ο προγραμματιστής εργάζεται σε αυτήν τη δυνατότητα.

Discord

Με το ransomware να είναι εξαιρετικά προσοδοφόρο, δεν θα ήταν έκπληξη να δούμε αυτήν τη λειτουργία να ολοκληρώνεται στο μέλλον.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS