Новый троян удаленного доступа Abaddon может быть первым, кто использует Discord в качестве полноценного сервера управления и контроля, который указывает вредоносной программе, какие задачи выполнять на зараженном компьютере. Хуже того, для этого вредоносного ПО разрабатывается функция вымогателя.

Злоумышленники, использующие Discord для злонамеренной деятельности, не новость. В прошлом мы сообщали о том, как злоумышленники используют Discord для удаления украденных данных (https://www.bleepingcomputer.com/news/security/discord-abused-to-spread-malware-and-harvest-stolen-data/) или создают вредоносное ПО, которое модифицирует клиент Discord (https://www.bleepingcomputer.com/news/security/discord-turned-into-an-info-stealing-backdoor-by-new-malware/) для кражи учетных данных и другой информации (https://www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/).

RAT использует Discord как полноценный сервер C2

Однако новый троян удаленного доступа Abaddon (RAT), обнаруженный MalwareHunterTeam (https://twitter.com/malwrhunterteam/status/1319236824070500353), может стать первым вредоносным ПО, которое использует Discord в качестве полноценного сервера управления и контроля.

Сервер управления и контроля (C2) - это удаленный хост, с которого вредоносное ПО получает команды для выполнения на зараженном компьютере.

При запуске Abaddon автоматически украдет следующие данные с зараженного ПК:

- Файлы cookie Chrome, сохраненные кредитные карты и учетные данные

https://www.bleepstatic.com/images/news/malware/d/discord/abaddon/chrome-collect.jpghttps://www.bleepstatic.com/images/news/malware/d/discord/abaddon/chrome-collect.jpg

- Учетные данные Steam и список установленных игр

https://www.bleepstatic.com/images/news/malware/d/discord/abaddon/steam.jpg

- Жетоны Discord и информация MFA.

- Списки файлов

- Системная информация, такая как страна, IP-адрес и информация об оборудовании.

Затем Abaddon подключится к серверу управления и контроля Discord, чтобы проверить наличие новых команд для выполнения, как показано на изображении ниже.

https://www.bleepstatic.com/images/news/malware/d/discord/abaddon/discord-c2.jpg

Эти команды сообщают вредоносной программе о необходимости выполнения одной из следующих задач:


Украсть файл или целые каталоги с компьютера

Получите список дисков

Откройте обратную оболочку, которая позволяет злоумышленнику выполнять команды на зараженном ПК.

Запуск программы-вымогателя, находящейся в разработке (подробнее об этом позже).

Отправьте обратно всю собранную информацию и очистите существующий сбор данных.
Вредоносная программа будет подключаться к C2 каждые десять секунд для выполнения новых задач. Используя сервер Discord C2, злоумышленник может постоянно отслеживать свою коллекцию зараженных компьютеров на предмет новых данных и выполнять дальнейшие команды или вредоносное ПО на компьютере.

Разработка базовой программы-вымогателя

Одна из задач, которую может выполнить новое вредоносное ПО, - зашифровать компьютер с помощью базовой программы-вымогателя и расшифровать файлы после уплаты выкупа.

Эта функция в настоящее время находится в разработке, так как ее шаблон сообщения с требованием выкупа содержит текст-заглушку "blah blah blah", поскольку разработчик работает над этой функцией.

https://www.bleepstatic.com/images/news/malware/d/discord/abaddon/in-dev-ransomware.jpg

Поскольку программы-вымогатели чрезвычайно прибыльны, неудивительно, что эта функция будет реализована в будущем.

Источник: https://www.bleepingcomputer.com/ne...-commands-via-discord-has-ransomware-feature/ (https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/)