Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Мировые новости. Обсуждения. (https://forum.antichat.xyz/forumdisplay.php?f=23)
-   -   Новый RAT Abaddon получает команды через Discord и будет функционал вымогателей (https://forum.antichat.xyz/showthread.php?t=481212)

alexzir 27.10.2020 20:49
Новый троян удаленного доступа Abaddon может быть первым, кто использует Discord в качестве полноценного сервера управления и контроля, который указывает вредоносной программе, какие задачи выполнять на зараженном компьютере. Хуже того, для этого вредоносного ПО разрабатывается функция вымогателя.

Злоумышленники, использующие Discord для злонамеренной деятельности, не новость. В прошлом мы сообщали о том, как злоумышленники используют Discord для удаления украденных данных или создают вредоносное ПО, которое модифицирует клиент Discord для кражи учетных данных и другой информации.

RAT использует Discord как полноценный сервер C2

Однако новый троян удаленного доступа Abaddon (RAT), обнаруженный MalwareHunterTeam, может стать первым вредоносным ПО, которое использует Discord в качестве полноценного сервера управления и контроля.

Сервер управления и контроля (C2) - это удаленный хост, с которого вредоносное ПО получает команды для выполнения на зараженном компьютере.

При запуске Abaddon автоматически украдет следующие данные с зараженного ПК:

- Файлы cookie Chrome, сохраненные кредитные карты и учетные данные

https://www.bleepstatic.com/images/n...me-collect.jpghttps://www.bleepstatic.com/images/n...me-collect.jpg

- Учетные данные Steam и список установленных игр

https://www.bleepstatic.com/images/n...ddon/steam.jpg

- Жетоны Discord и информация MFA.

- Списки файлов

- Системная информация, такая как страна, IP-адрес и информация об оборудовании.

Затем Abaddon подключится к серверу управления и контроля Discord, чтобы проверить наличие новых команд для выполнения, как показано на изображении ниже.

https://www.bleepstatic.com/images/n...discord-c2.jpg

Эти команды сообщают вредоносной программе о необходимости выполнения одной из следующих задач:
  • Украсть файл или целые каталоги с компьютера
  • Получите список дисков
  • Откройте обратную оболочку, которая позволяет злоумышленнику выполнять команды на зараженном ПК.
  • Запуск программы-вымогателя, находящейся в разработке (подробнее об этом позже).
  • Отправьте обратно всю собранную информацию и очистите существующий сбор данных.
Вредоносная программа будет подключаться к C2 каждые десять секунд для выполнения новых задач. Используя сервер Discord C2, злоумышленник может постоянно отслеживать свою коллекцию зараженных компьютеров на предмет новых данных и выполнять дальнейшие команды или вредоносное ПО на компьютере.

Разработка базовой программы-вымогателя

Одна из задач, которую может выполнить новое вредоносное ПО, - зашифровать компьютер с помощью базовой программы-вымогателя и расшифровать файлы после уплаты выкупа.

Эта функция в настоящее время находится в разработке, так как ее шаблон сообщения с требованием выкупа содержит текст-заглушку "blah blah blah", поскольку разработчик работает над этой функцией.

https://www.bleepstatic.com/images/n...ransomware.jpg

Поскольку программы-вымогатели чрезвычайно прибыльны, неудивительно, что эта функция будет реализована в будущем.

Источник: https://www.bleepingcomputer.com/ne...-commands-via-discord-has-ransomware-feature/


Время: 11:04