CursedGrabber Malware
Le nombre de menaces de logiciels malveillants exploitant la plate-forme Discord légitime semble proliférer. La dernière menace de ce type à être détectée par les chercheurs d'Infosec s'appelle «xpc.js» et appartient à la famille CursedGrabber Malware. Ce logiciel malveillant a été publié par le même pirate informatique responsable des logiciels malveillants précédemment découverts tels que discord.dll, discord.application, wsbd.js et ac-addon.
Malgré son nom, «xpc.js» n'est pas un fichier JavaScript mais un composant npm corrompu qui cible les hôtes Windows. Il est livré sous la forme d'une archive nommée «tar.gz» contenant deux fichiers EXE - «lib.exe» et «lib2.exe», qui sont exécutés via les scripts «postinstall» du fichier manifeste. «Lib.exe» est un malware infostealer qui récupère divers types de données des systèmes compromis et les renvoie aux attaquants via les webhooks Discord. Les informations recueillies comprennent les profils d'utilisateurs de plusieurs navigateurs, les jetons Discord, les fichiers Discord leveldb, etc. La menace tente même d'obtenir certains détails de paiement et informations de facturation.
Le fichier 'lib2.exe' est un compte-gouttes qui délivre un fichier ZIP corrompu. Le nom de l'archive téléchargée et son emplacement sont déterminés via un webhook codé en dur. L'archive ZIP contient 34 DLL et deux fichiers exe. Les exécutables sont nommés «osloader.exe» et «winresume.exe» et lancés par «lib2.exe» lui-même. Ce malware post-infection possède d'importantes capacités RAT (Remote Access Trojan). Il peut augmenter ses privilèges, prendre des captures d'écran, effectuer des activités de keylogging, accéder à des webcams connectées, etc.
En outre, il établit une porte dérobée avec une API REST exécutée sur le port 20202 sur la machine compromise, garantissant un accès facile à l'infrastructure de commande et de contrôle. Le binaire 'winresume' est une version falsifiée de l'application légitime 'winresume.exe' qui facilite la reprise des ordinateurs Windows qui ont été en mode veille prolongée pendant des périodes prolongées. Le but est de cacher le code corrompu dans des binaires légitimes, ce qui rend la détection des menaces encore plus difficile.
Une autre famille de logiciels malveillants Discord est TroubleGrabber, qui, contrairement à CursedGrabber, abuse de deux services légitimes - Discord et GitHub, dans le cadre de ses opérations menaçantes.
