28 de octubre de 2019

Nuevo malware infecta el cliente de escritorio de Discord

El cliente de voz ‘Discord’ se convierte en el objetivo de un nuevo malware, que lo troyaniza para robar información del sistema.
El investigador ‘MalwareHunterTeam’ descubrió a principios de mes un nuevo malware que tiene como objetivo infectar la aplicación de escritorio de ‘Discord’, un cliente de voz que se ha hecho muy popular entre los ‘gamers’.
Se le conoce con el nombre de ‘Spidey Bot’, y para infectar la aplicación de escritorio de ‘Discord’ añade el código malicioso a los ficheros de código Javascript de la app.
La aplicación está desarrollada utilizando ‘Electron’, que permite desarrollar aplicaciones de escritorio utilizando HTML, CSS y Javascript. El troyano aprovecha este funcionamiento para modificar los ficheros de código de la aplicación y añadir código malicioso.
Una vez añadido el código malicioso, cada vez que el usuario inicia la app de ‘Discord’, se ejecutará también el código malicioso sin que el usuario sospeche.
El código malicioso se añade a los ficheros:
·        %AppData%\Discord[version]\modules\discord_modules\index.js
·        %AppData%\Discord[version]\modules\discord_desktop_core\index.js
Después de infectar los ficheros, este malware reinicia la app de ‘Discord’ para que el código malicioso comience su ejecución. Lo primero que hace este código malicioso es obtener información sobre el sistema en el que se está ejecutando.
Entre la información recopilada y enviada al atacante se incluye:
·        Token de usuario de Discord
·        Zona horaria del sistema
·        Resolución de pantalla
·        IP local
·        IP pública
·        Información del usuario: nombre de usuario, email, teléfono, etc.
·        Información de pagos almacenada
·        Versión de Discord
·        Los 50 primeros caracteres del clipboard de Windows
Después de recopilar y enviar esta información, el troyano ejecutará la función ‘fightdio‘, que se encarga de conectar al servidor de control y esperar comandos que ejecutar en el sistema.
Código de la función ‘fightdio’, encargada de recibir y ejecutar comandos específicos (Imagen BleepingComputer)
El servidor de control ya no se encuentra disponible, pero podrían existir nuevas muestras que utilicen nuevos servidores de control activos.
Más información:
Fuente: Hispasec