El cliente de voz
‘Discord’ se convierte en el objetivo de un nuevo malware, que lo troyaniza
para robar información del sistema.
El investigador
‘MalwareHunterTeam’ descubrió a principios de mes un nuevo malware que tiene
como objetivo infectar la aplicación de escritorio de ‘Discord’, un cliente de
voz que se ha hecho muy popular entre los ‘gamers’.
Se le conoce con el
nombre de ‘Spidey Bot’, y para infectar la aplicación de escritorio de
‘Discord’ añade el código malicioso a los ficheros de código Javascript de la
app.
La aplicación está
desarrollada utilizando ‘Electron’, que permite desarrollar aplicaciones de
escritorio utilizando HTML, CSS y Javascript. El troyano aprovecha este
funcionamiento para modificar los ficheros de código de la aplicación y añadir
código malicioso.
Una vez añadido el
código malicioso, cada vez que el usuario inicia la app de ‘Discord’, se
ejecutará también el código malicioso sin que el usuario sospeche.
El código malicioso
se añade a los ficheros:
·
%AppData%\Discord[version]\modules\discord_modules\index.js
·
%AppData%\Discord[version]\modules\discord_desktop_core\index.js
Después de infectar
los ficheros, este malware reinicia la app de ‘Discord’ para que el código malicioso
comience su ejecución. Lo primero que hace este código malicioso es obtener
información sobre el sistema en el que se está ejecutando.
Entre la información
recopilada y enviada al atacante se incluye:
·
Token
de usuario de Discord
·
Zona
horaria del sistema
·
Resolución
de pantalla
·
IP
local
·
IP
pública
·
Información
del usuario: nombre de usuario, email, teléfono, etc.
·
Información
de pagos almacenada
·
Versión
de Discord
·
Los
50 primeros caracteres del clipboard de Windows
Después de recopilar
y enviar esta información, el troyano ejecutará la función ‘fightdio‘, que se
encarga de conectar al servidor de control y esperar comandos que ejecutar en
el sistema.
Código de la función
‘fightdio’, encargada de recibir y ejecutar comandos específicos (Imagen
BleepingComputer)
El servidor de
control ya no se encuentra disponible, pero podrían existir nuevas muestras que
utilicen nuevos servidores de control activos.
Más información:
Fuente: Hispasec