Nuevo malware está dirigido a los usuarios de Discord

Un nuevo malware está dirigido a los usuarios de Discord modificando el cliente de Windows Discord para que se transforme en una puerta trasera y un troyano que robe información.

El cliente de Windows Discord es una aplicación Electron, lo que significa que casi toda su funcionalidad se deriva de HTML, CSS y JavaScript. Esto permite que el malware modifique sus archivos principales para que el cliente ejecute un comportamiento malicioso en el inicio.

Descubierto por el investigador MalwareHunterTeam a principios de este mes , este malware se llama "Spidey Bot" en función del nombre del comando Discord y el canal de control con el que se comunicó el malware. Sin embargo, un comentario en el artículo a continuación afirma que su nombre real es "BlueFace".

Una vez instalado, el malware agregará su propio JavaScript malicioso a los archivos% AppData% \ Discord \ [versión] \ modules \ discord_modules \ index.js y % AppData% \ Discord \ [versión] \ modules \ discord_desktop_core \ index.js .


El malware terminará y reiniciará la aplicación Discord para que se ejecuten los nuevos cambios de JavaScript.

Una vez iniciado, JavaScript ejecutará varios comandos API de Discord y funciones de JavaScript para recopilar una variedad de información sobre el usuario que luego se envía a través de un webhook de Discord al atacante.


La información que se recopila y se envía al atacante incluye:

- Token de usuario discord
- Zona horaria de víctimas
- Resolución de la pantalla
- Dirección IP local de la víctima
- Dirección IP pública de la víctima a través de WebRTC
- Información del usuario como nombre de usuario, dirección de correo electrónico,
número de teléfono y más
- Si han almacenado información de pago
- Factor de zoom
- Agente de usuario del navegador
- Versión discord
- Los primeros 50 personajes del portapapeles de Windows de las víctimas

El contenido del portapapeles es especialmente preocupante, ya que podría permitir al usuario robar contraseñas, información personal u otros datos confidenciales que el usuario haya copiado.

Después de enviar la información, el malware Discord ejecutará la función fightdio (), que actúa como una puerta trasera.

Esta función se conectará a un sitio remoto para recibir un comando adicional para ejecutar. Esto permite al atacante realizar otras actividades maliciosas, como robar información de pago si existe, ejecutar comandos en la computadora o instalar potencialmente más malware.


En este momento, el sitio anterior está inactivo, pero no se sabe si una muestra diferente utiliza un sitio diferente o no. Además, un comentarista a continuación declara que el malware ha sido descontinuado, pero no tenemos forma de confirmarlo.

El investigador e ingeniero inverso Vitali Kremez, quien también analizó el malware, le dijo a BleepingComputer que la infección se ha visto usando nombres de archivo como "Blueface Reward Claimer.exe" y "Synapse X.exe". Si bien no está 100% seguro de cómo se está propagando, Kremez siente que el atacante está utilizando los mensajes de Discord para propagar el malware.

Como esta infección no muestra indicios externos de que se haya visto comprometida, un usuario no tendrá idea de que está infectado a menos que detecte la red y vea las inusuales API y llamadas de enlace web.

Si se detecta y elimina el instalador, los archivos modificados de Discord seguirán infectados y continuarán ejecutándose cada vez que inicie el cliente. La única forma de limpiar la infección será desinstalar la aplicación Discord y reinstalarla para que se eliminen los archivos modificados.

Peor aún, después de más de dos semanas, este malware Discord solo tiene 24/65 detecciones en VirusTotal .

Cómo verificar si estás infectado

Verificar si su cliente Discord ha sido modificado es muy fácil ya que los archivos de destino normalmente solo tienen una línea de código.

Para verificar el  % AppData% \ Discord \ [versión] \ modules \ discord_modules \ index.js simplemente ábralo en el Bloc de notas y solo debe contener la única línea de "module.exports = require ('./ discord_modules.node'); " Como se muestra abajo.


Para el  archivo % AppData% \ Discord \ [versión] \ modules \ discord_desktop_core \ index.js , solo debe contener el "module.exports = require ('./ core.asar');" cadena como se muestra a continuación.


Si alguno de los dos archivos contiene un código diferente al que se muestra arriba, entonces debe desinstalar y reinstalar el cliente Discord y confirmar que se eliminan las modificaciones.

Sin embargo, es importante recordar que otro malware puede modificar con la misma facilidad otros archivos JavaScript utilizados por el cliente Discord, por lo que estas instrucciones son solo para este malware en particular.

¿Cómo puede Discord protegerlo de las amenazas de malware?

Después de publicar este artículo, hemos recibido muchas preguntas sobre cómo Discord puede advertir a los usuarios sobre modificaciones al cliente.

Discord puede hacer esto creando un hash de cada archivo de cliente cuando se lanza una nueva versión. Después de ser instalado, si se modifica el archivo, este hash cambiará.

Cuando se inicia el cliente de Discord, puede realizar una comprobación de integridad del archivo y ver si los valores hash del archivo actual coinciden con los valores predeterminados del cliente Discord. Si son diferentes, ese archivo se ha modificado y la aplicación puede mostrar una advertencia, como la maqueta que creamos a continuación, que permite al usuario continuar cargando el cliente o cancelarlo.



Esta comprobación se debe realizar utilizando código nativo en lugar de otro archivo JavaScript, que se puede modificar fácilmente.

Actualización 24/10/19: Se agregaron secciones para verificar si los archivos JS especificados se han modificado y cómo Discord puede monitorear este tipo de modificaciones.
Actualización 24/10/19 5:25 PM EST: Se  agregó información sobre la muerte de C2, que el nombre real de esta infección puede ser BlueFace y que se dice que el malware se descontinuó. No podemos confirmar las dos últimas reclamaciones.


Vía: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta