TroubleGrabber Malware

TroubleGrabber Malware

Le nombre de menaces de logiciels malveillants exploitant la plate-forme sociale Discord et l'application de chat vocal ne cesse de croître, l'un d'entre eux étant le Trouble Grabber Malware. Le logiciel malveillant Trouble Grabber a été détecté pour la première fois par des chercheurs qui ont surveillé les URL publiques des pièces jointes Discord pour détecter tout contenu dangereux. TroubleGrabber abuse de Discord de plusieurs manières, à la fois en tant que plate-forme de communication de commande et de contrôle (C2, C&C). Un autre service légitime - GitHub, est utilisé comme référentiel pour les charges utiles de deuxième étape fournies par la menace.

La chaîne d'attaque du logiciel malveillant TroubleGrabber commence par la livraison de la menace à l'ordinateur ciblé via un lien de pièce jointe Discord. Le lien mène à une archive contenant un fichier exécutable. Les deux se font passer pour une application légitime nommée Discord Nitro Generator. Lorsque le «Discord Nitro Generator et Checker.exe» est exécuté, il procède à la suppression de cinq charges utiles supplémentaires sur le périphérique compromis - Curl.exe, WebBrowserPassView.exe, Tokenstealer.vbs, Tokenstealer.bat et Sendhookfile.exe . Toutes les charges utiles de deuxième étape sont extraites d'un référentiel GitHub et téléchargées vers l' emplacement C: \ temp.

Tokenstealer.bat est le principal coordinateur des activités nuisibles de la menace. Il est responsable de l'exécution de certaines des charges utiles supplémentaires. WebBrowserPassView.exe récupère les mots de passe enregistrés dans tous les navigateurs Web de la victime, puis les stocke dans ' C: /temp/Passwords.txt . Il utilise Curl.exe pour exfiltrer certaines données vers le serveur Discord de l'attaquant telles que le nom d'utilisateur, l'adresse IP, SystemInfo, l'heure et les données, ainsi que les jetons appartenant à Discord, PTB et Canary. Tokenstealer.bat prend également en charge le processus de nettoyage conçu pour minimiser les traces laissées par les activités de TroubleGrabber en supprimant 'ip_address.txt', 'WindowsInfo.txt', 'Passwords.txt,' 'curl-ca-bundle.crt,' Fichiers «curl.exe» et «CustomEXE.exe». Enfin, il redémarre l'ordinateur compromis.

Le référentiel GitHub utilisé par TroubleGrabber appartient à un utilisateur nommé «Ithoublve», qui semble être le développeur d'origine de la menace. Outre les charges utiles de deuxième étape, le référentiel avait également un exécutable nommé «ItroublveTSC.exe», qui est un générateur pour le malware et ses composants. Toute personne ayant accès au générateur peut modifier la menace du logiciel malveillant en fonction de ses préférences en lui fournissant ses propres webhooks Discord, en entrant un faux message, en choisissant une icône personnalisée et en ajustant les fonctionnalités supplémentaires qu'elle souhaite inclure - "Crash PC '', Suppression automatique de EXE, "Redémarrer Discord", "Redémarrer le PC", "ShutdownPC" et "EXE personnalisé".

Tendance

Chargement...