Исследователи безопасности Netskope они обнаружили новый вредоносных программпо имени TroubleGrabberкоторый он ворует Полномочия и распространяется через Вложения в Discord. Кроме того, вредоносная программа использует веб-перехватчики Discord для доставки украденных. информация своим операторам.

По мнению исследователей, несколько взлом группы используют новый инструмент кражи информации для геймеров на серверах Discord и воруют пароли доступ и другая конфиденциальная информация.
TroubleGrabber имеет аналогичные возможности с другим вредоносным ПО, АнархияГраббер, который их заражает пользователи Discord, а также используется для сбора учетных данных и отключить двухфакторную аутентификацию (2FA).
Netskope обнаружила новое вредоносное ПО в октябре 2020 года. Образцы TroubleGrabber (идентифицированные как варианты Razy) составили более 85% из 1.650 образцов вредоносного ПО, нацеленных на пользователей Discord в октябре.
Способ атаки
По мнению исследователей, Discord (а также Github) используется для загрузки полезных данных в папку C: / temp после заражения жертвы с помощью TroubleGrabber.
Вредоносная программа также использует веб-перехватчики Discord для связи с командным сервером (C2) злоумышленников и отправки украденных информация жертв.
Следователи говорят, что TroubleGrabber может украсть один широкий спектр важной информации: токены веб-браузера, токены веб-перехватчика Discord, пароли веб-браузера и системная информация.
TroubleGrabber сам отправляет эти информация на серверы Discord злоумышленников через сообщения, используя веб-перехватчики Discord.
Говорят, что группа, стоящая за созданием этого инфостиллера, называется Itroublve.
Netskope также сообщил, что один был выпущен на YouTube. учебник показывает, как можно использовать TroubleGrabber для создания и настройки собственных серверов Discord для размещения вредоносных программ.

Техники распространения
Как упоминалось выше, в большинстве случаев TroubleGrabber доставляется на компьютеры жертв с скачивание через вложения в Discord.
Мы обнаружили более 1.000 бинарных файлов, распространяемых через URL-адреса для загрузки с помощью drive-by, имена файлов которых отображаются как читы для игр, установщики Discord и взломы программного обеспечения.", - заявили исследователи Netskope.
Вредоносное ПО распространилось через Discord на 97,8% обнаруженных заражений. Небольшой процент заражений произошел через него. anonfiles.com и anonymousfiles.io, Это все услуги позволяя пользователи загружать файлы анонимно и бесплатно, чтобы создать общедоступную ссылку для скачивания.
Netskope Thets Labs также поделилась IOC (индикаторы взлома) TroubleGrabber с Discord, GitHub, YouTube, Facebook, ХО Twitter и Instagram (чьи платформы использовались в атаках) 10 ноября.
Источник: Bleeping Computer