Abaddon RAT

Bien que l'exploitation de l'application VoIP et de la plate-forme de distribution numérique Discord ne soit pas courante, ce n'est pas nouveau pour les pirates qui créent des outils malveillants. Dans le passé, ils ont utilisé Discord comme plate-forme d'hébergement de logiciels malveillants ou comme service de distribution. Un logiciel malveillant particulier appelé Spidey Bot a été créé pour modifier le client de l'application Windows Discord et le transformer en un voleur d'informations spécifiquement. Dans d'autres cas, des attaquants malveillants ont abusé de la fonctionnalité Webhooks, un outil utile qui permet aux sites Web ou aux applications tierces de transmettre des messages aux canaux Discord, comme un endroit pour supprimer les données collectées des utilisateurs compromis.

Cependant, un nouveau cheval de Troie d'accès à distance (RAT) nommé Abaddon utilise Discord comme un serveur de commande et de contrôle à part entière (C2, C&C), ce que les chercheurs d'Infosec n'avaient pas vu auparavant.

Une fois qu'Abaddon a infiltré l'ordinateur ciblé, il exécute ses procédures de collecte de données. Le RAT est capable d'obtenir des données sensibles telles que les détails de la carte de crédit / débit, les cookies Chrome et les informations d'identification, ainsi que diverses informations système, y compris les détails du matériel, l'adresse IP et le pays. Le logiciel malveillant passe ensuite à l'application Steam, s'il est installé sur l'appareil compromis, et collecte les informations de connexion et la liste des jeux. Enfin, Abaddon accède aux jetons Discord et aux informations d'authentification multifacteur (MFA).

Une fois l'ensemble initial de collecte de données terminé, le RAT tente d'établir une connexion avec le serveur Discord C&C pour des commandes supplémentaires. Un contrôle est effectué toutes les 10 secondes pour de nouvelles instructions. Les pirates peuvent lancer cinq fonctionnalités Abaddon différentes en envoyant les commandes appropriées. Ils peuvent obtenir une liste de tous les lecteurs connectés à l'ordinateur infecté, exfiltrer des fichiers ou des répertoires entiers, exécuter des commandes arbitraires via un shell inversé, télécharger toutes les données collectées par Abaddon et effacer les journaux existants. La dernière capacité menaçante d'Abaddon est d'agir comme une menace de ransomware, bien que cette "fonctionnalité'' particulière soit toujours en cours de développement par les pirates. Les chercheurs de MalwareHunterTeam, qui ont analysé Abaddon, ont découvert que la note de rançon délivrée par le malware n'est qu'un espace réservé pour le moment. Crypter les fichiers stockés sur l'ordinateur de la victime, puis demander de l'argent pour leur restauration est une tactique lucrative employée par les cybercriminels, et il ne serait pas si surprenant que les capacités de ransomware d'Abaddon soient libérées en peu de temps.