Verschiedene Malware lauert in der Discord-App und zielt auf Gamer

  • Untersuchungen von Zscaler ThreatLabZ zeigen, dass Angreifer Spam-E-Mails und legitim aussehende Links zu Spiele-Software nutzen, um die Ransomware Epsilon, den Kryptominer XMRrig und verschiedene Daten- und Token-Stealer zu verbreiten.

    Die Zunahme von Online-Spielen, die mit der durch die Pandemie ausgelösten sozialen Distanzierung zusammenhängt, hat zu einem Anstieg von Kriminellen geführt, die es auf diese Zielgruppe abgesehen haben. Der neueste Versuch, diesen Trend auszunutzen, sind bösartige Dateien, die in die Discord-Plattform eingeschleust wurden, um Benutzer zum Herunterladen von mit Malware verseuchten Dateien zu verleiten.

    Forscher berichten von mehreren aktiven Kampagnen, die auf die Discord-Plattform “cdn[.]discordapp[.]com”, um eine Infektionskette auszulösen und die Ransomware Epsilon, die Datendiebstahl-Trojaner und den Kryptominer XMRrig auszuliefern, so ein Bericht von Zscaler ThreatLabZ. Die Angreifer nutzen den Dienst auch für die Command-and-Control-Kommunikation (C2), so die Forscher.

    Die Gruppen-Chat-Plattform Discord wurde ursprünglich für Gamer entwickelt und hat sich zu einer virtuellen Wasserstelle für soziale Kontakte entwickelt. Die App wird von Spielern und anderen verwendet, um Gemeinschaften im Web zu erstellen, die “Server” genannt werden, entweder als eigenständige Foren oder als Teil einer anderen Website. Discord unterstützt Sprache, Video oder Text – so können alle innerhalb der erstellten Communities interagieren.

    COVID-19 Sichere, aber mit Malware verseuchte Umgebung

    Discord hat – wie unzählige andere Chat- und Online-Kommunikationsplattformen – einen Anstieg der Nutzung erlebt. Dies hat Discord und andere virtualisierte Communities ins Visier von Hackern gerückt, die sie als reifes Ziel für Missbrauch sehen.

    “Im Jahr 2020 zeigten Untersuchungen einen starken Anstieg der Spiele-Downloads, und diese Aktivität blieb von Cyberkriminellen nicht unbemerkt”, so das ThreatLabZ. “Angreifer haben oft die Popularität bestimmter Spiele ausgenutzt (Among Us war ein aktuelles Beispiel), um Spieler zum Herunterladen von gefälschten Versionen zu verleiten, die Malware enthielten.”

    Obwohl das Einschleusen von Malware in Discord keine neue Aktivität ist, entdeckten die Forscher eine Reihe neuartiger Kampagnen, bei denen verschiedene bekannte Malware verwendet wurde, um Spieler von der Plattform aus zu locken.

    Malware-Kornukopie

    Malware, die in letzter Zeit in Discord eingeschleust wurde, umfasst laut ThreatLabZ nicht nur die Ransomware Epsilon, sondern auch den Miner XMRig und drei Arten von Stealern – Redline Stealer, TroubleGrabber und eine breite Kategorie von nicht identifizierten Discord-Token-Grabbern.

    Die neuen Discord-Angriffe, die von den Forschern beobachtet wurden, beginnen in der Regel mit Spam-E-Mails, in denen Benutzer mit legitim aussehenden Vorlagen zum Herunterladen von Nutzdaten der nächsten Stufe verleitet werden. Der Angriffsvektor nutzt Discord-Dienste, um eine URL zu bilden, die eine bösartige Nutzlast als https://cdn hostet.[.]discordapp[.]com/attachments/ChannelID/AttachmentID/filename[.]exe

    Die Kampagnen benennen bösartige Dateien in Raubkopien oder Spielesoftware um und verwenden Dateisymbole, die mit Spielen zu tun haben, um die Opfer auszutricksen, heißt es in dem Bericht.

    Die Forscher untersuchten die Angriffsvektoren der verschiedenen Malware-Typen, die in den jüngsten Discord-Kampagnen entdeckt wurden und die jeweils ihre eigenen Methoden haben.

    Wichtigste Erkenntnisse

    • Mehrere Kampagnen, die sich auf den cdn[.]discordapp[.]com-Dienst für ihre Infektionskette.
    • Cyberkriminelle nutzen Discord CDN zum Hosten bösartiger Dateien sowie zur Command-and-Control-Kommunikation.
    • Bösartige Dateien werden als raubkopierte Software oder Spielesoftware umbenannt, um Gamer zu täuschen.
    • Dateisymbole werden auch mit Spielesoftware in Verbindung gebracht, um Gamer auszutricksen.
    • Mehrere Kategorien von Malware werden über die CDN-Infrastruktur der Discord-App bereitgestellt – Ransomware, Stealer und Cryptominers.

    Verschiedene Malware-Schläge, für verschiedene Leute

    Im Fall der Epsilon-Ransomware beginnt die Ausführung mit dem Ablegen einer .inf- und einer .exe-Datei im Windows/Temp-Ordner des Computers des Benutzers. Die Malware bleibt bestehen, indem sie einen Registrierungsschlüssel auf dem Computer des Opfers erstellt und dann die Systemlaufwerke auflistet, um die Dateien mit doppelter Verschlüsselung zu verschlüsseln – einschließlich eines zufällig generierten 32-Bit-Schlüssels und einer benutzerdefinierten RC4-Verschlüsselung mit einem 2048-Bit-Schlüssel variabler Länge.

    Sobald die Verschlüsselung etabliert ist, lädt der Angriff das Bild der Lösegeldforderung von dem Link cdn.discordapp.com herunter, um es auf dem Rechner des Opfers anzuzeigen, so die Forscher. Im Gegensatz zu den in den neuen Kampagnen beobachteten Stealern und Kryptominern verwendet Epsilon jedoch nicht Discord, um die C2-Kommunikation zu initiieren.

    Der Redline-Stealer – eine neuartige russische Malware, die seit letztem Jahr in Untergrundforen zu finden ist – startet seinen Angriff, indem er eine Kopie von sich selbst im Ordner AppData/Roaming auf dem Rechner des Opfers ablegt. Der Stealer nutzt die Namen mehrerer beliebter Spiele-Apps, um seine Aktivitäten auszuführen. Dazu gehören das Sammeln von Logins und Passwörtern, Cookies, Autovervollständigungsfeldern und Kreditkarten sowie das Stehlen von Daten aus FTP- und IM-Clients, so die Forscher.

    Der XMRig-Miner initiiert seinen Angriff, indem er eine Kopie von sich selbst unter %ProgramData%RealtekHDUpdaterrealtekdrv[.]exe. und ändert dann die Dateiberechtigungen des Systems ohne Zustimmung des Benutzers sowie verbindet sich mit dem C2-Server mit verschiedenen Befehlen.

    Worauf Bedrohungsakteure aus sind

    Nachdem er versucht hat, eine Reihe von Programmen auf dem Computer des Opfers zu löschen – darunter Process Hacker, Task Manager, Windows, Windows Task Manager, AnVir Task Manager, Taskmgr[.]exe und NVIDIA GeForce – startet der Miner mit der Monero-Adresse “4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQswVtyKcWBsLoeY6A2.”

    Die anderen von den Forschern beobachteten Grabber verwenden Discord-Tokens, um Benutzerinformationen zu stehlen, eine Art von bösartiger Aktivität, die die Forscher von Sonatype im letzten Monat ebenfalls mit der Malware CursedGrabber für Discord beobachtet haben.

    Discord-Tokens werden im Bot-Code verwendet, um Befehle an die Discord-API zu senden, die wiederum Bot-Aktionen steuert. Wenn ein Discord-Token gestohlen wird, kann ein Angreifer den Server hacken.

    Die Forscher beobachteten den TroubleGrabber, der in den letzten Kampagnen Token-Diebstahl durchführte, sowie verschiedene andere, nicht identifizierte Grabber, die ähnliche Aktivitäten durchführten, sagten sie.

    Threatpost WEBINAR: Ist Ihr kleines bis mittleres Unternehmen eine leichte Beute für Angreifer? Sichern Sie sich Ihren Platz für “15 Cybersecurity Gaffes SMBs Make”, ein KOSTENLOSES Threatpost-Webinar am 24. Februar um 14:00 Uhr ET. Cyberkriminelle verlassen sich darauf, dass Sie diese Fehler machen, aber unsere Experten werden Ihnen helfen, Ihr kleines bis mittleres Unternehmen so abzusichern, als wäre es ein Fortune 100-Unternehmen. Registrieren Sie sich JETZT für dieses LIVE-Webinar am Mittwoch, 24. Februar.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com