Новый троян удаленного доступа Abaddon может быть первым, кто использует Discord в качестве полноценного сервера управления и контроля, который указывает вредоносной программе, какие задачи выполнять на зараженном компьютере. Хуже того, для этого вредоносного ПО разрабатывается функция вымогателя.
Злоумышленники, использующие Discord для злонамеренной деятельности, не новость. В прошлом мы сообщали о том, как злоумышленники
используют Discord для удаления украденных данных или создают вредоносное ПО, которое
модифицирует клиент Discord для
кражи учетных данных и другой информации.
RAT использует Discord как полноценный сервер C2
Однако новый троян удаленного доступа Abaddon (RAT), обнаруженный
MalwareHunterTeam, может стать первым вредоносным ПО, которое использует Discord в качестве полноценного сервера управления и контроля.
Сервер управления и контроля (C2) - это удаленный хост, с которого вредоносное ПО получает команды для выполнения на зараженном компьютере.
При запуске Abaddon автоматически украдет следующие данные с зараженного ПК:
- Файлы cookie Chrome, сохраненные кредитные карты и учетные данные
- Учетные данные Steam и список установленных игр
- Жетоны Discord и информация MFA.
- Списки файлов
- Системная информация, такая как страна, IP-адрес и информация об оборудовании.
Затем Abaddon подключится к серверу управления и контроля Discord, чтобы проверить наличие новых команд для выполнения, как показано на изображении ниже.
Эти команды сообщают вредоносной программе о необходимости выполнения одной из следующих задач:
- Украсть файл или целые каталоги с компьютера
- Получите список дисков
- Откройте обратную оболочку, которая позволяет злоумышленнику выполнять команды на зараженном ПК.
- Запуск программы-вымогателя, находящейся в разработке (подробнее об этом позже).
- Отправьте обратно всю собранную информацию и очистите существующий сбор данных.
Вредоносная программа будет подключаться к C2 каждые десять секунд для выполнения новых задач. Используя сервер Discord C2, злоумышленник может постоянно отслеживать свою коллекцию зараженных компьютеров на предмет новых данных и выполнять дальнейшие команды или вредоносное ПО на компьютере.
Разработка базовой программы-вымогателя
Одна из задач, которую может выполнить новое вредоносное ПО, - зашифровать компьютер с помощью базовой программы-вымогателя и расшифровать файлы после уплаты выкупа.
Эта функция в настоящее время находится в разработке, так как ее шаблон сообщения с требованием выкупа содержит текст-заглушку "blah blah blah", поскольку разработчик работает над этой функцией.
Поскольку программы-вымогатели чрезвычайно прибыльны, неудивительно, что эта функция будет реализована в будущем.
Источник:
https://www.bleepingcomputer.com/ne...-commands-via-discord-has-ransomware-feature/
Древовидный вид