Как крадут токены в разногласиях

Обновлено: 20.11.2024

TroubleGrabber – это новый похититель учетных данных, который распространяется через вложения Discord и использует сообщения Discord для передачи злоумышленнику украденных учетных данных. Хотя он имеет некоторое функциональное сходство с AnarchyGrabber, он реализован иначе и, похоже, не связан с той же группой. TroubleGrabber написан человеком по имени Itroublve и в настоящее время используется несколькими злоумышленниками для нацеливания на жертв в Discord.

Эта вредоносная программа, которая в основном поступает через загрузку с диска, крадет токены веб-браузера, токены веб-перехватчиков Discord, пароли веб-браузера и системную информацию. Эта информация отправляется через веб-хук в виде сообщения чата на сервер Discord злоумышленника. Судя по именам файлов и механизмам доставки, TroubleGrabber активно используется для геймеров.

Мы обнаружили TroubleGrabber в октябре 2020 г. при изучении общедоступных вложений Discord для нашей предыдущей публикации в блоге «Дырявые чаты: случайное обнаружение и вредоносное ПО во вложениях Discord».

В этом посте будет подробно описан технический анализ TroubleGrabber и предоставлена ​​информация о генераторе и его создателе.

Открытие

Только в октябре 2020 г. мы обнаружили более 5700 URL-адресов общедоступных вложений Discord, содержащих вредоносный контент, в основном в виде исполняемых файлов и архивов Windows. В то же время мы просканировали нашу базу данных вредоносных программ на наличие образцов, содержащих URL-адреса Discord, используемые в качестве полезной нагрузки следующего этапа или C2.

На рис. 1 показана разбивка пяти основных обнаружений 1650 образцов вредоносных программ за тот же период времени, которые были доставлены из Discord и также содержали URL-адреса Discord.

Рисунок 1. Пять наиболее частых обнаружений

Эти обнаружения связаны с двумя отдельными группами вредоносных программ

  1. GameHack — Gen:Variant.Mikey.115607, Trojan.GenericKD.43979330 — это исправленные или взломанные версии популярных игр. Все файлы, связанные с этими обнаружениями, были доставлены через Discord.
  2. TroubleGrabber – Gen:Variant.Razy.742965 и Gen:Variant.Razy.728469 – полезные данные первого этапа Gen:Variant.Razy.729793 – нового варианта вредоносного ПО, которое мы не видели до октября 2020 года. Файлы, связанные с эти обнаружения использовали Discord для доставки вредоносного ПО, полезной нагрузки следующего этапа и связи с C2.

Изображение атаки

Визуальное изображение цепочки ликвидации атаки TroubleGrabber показано на рис. 2.

Рисунок 2: Цепочка уничтожения атаки TroubleGrabber

Изображение на рис. 2 иллюстрирует следующие шаги

  • Доставка TroubleGrabber на машину жертвы по ссылке на вложение Discord.
  • TruoubleGrabber использует Discord и Github для загрузки полезных данных следующего этапа на компьютер жертвы.
  • Полезная нагрузка крадет учетные данные жертв, такие как системная информация, IP-адрес, пароли веб-браузера и токены. Затем он отправляет их злоумышленнику в виде сообщения чата через URL-адрес веб-перехватчика.

Анализ TroubleGrabber

Рисунок 3: Декомпилированный код Discord Nitro Generator и Checker.exe

На рис. 3 показано, как исполняемый файл загружает полезные данные следующего этапа в «C:/temp» с семи URL-адресов, размещенных в Discord и Github, как указано ниже

Файлы curl.exe, Curl-ca-bundle.crt, WebBrowserPassView.exe, tokenstealer.vbs, Tokenstealer2.vbs,Tokenstealer.bat и sendhookfile.exe работают следующим образом:

Curl.exe

Curl.exe — это инструмент командной строки, который используется для загрузки, выгрузки и публикации данных по нескольким поддерживаемым протоколам. Вредоносное ПО использует команду curl для публикации сообщения о статусе с данными жертвы через веб-хук следующим образом:

Curl-ca-bundle.crt

Curl-ca-bundle.crt — это сертификат, используемый curl для проверки на удаленном сервере. Curl выполняет проверку SSL-сертификата, используя общедоступные центры сертификации, представленные в файле curl-ca-bundle.crt, для загрузки, скачивания и публикации данных.

WebBrowserPassView.exe

WebBrowserPassView.exe — это утилита для восстановления паролей от Nirsoft, которая показывает пароли, сохраненные в веб-браузерах.У этой утилиты есть история использования злоумышленниками для кражи сохраненных паролей и отправки их обратно на свой C2. TroubleGrabber использует WebBrowserPassView.exe, чтобы сделать то же самое.

Tokenstealer.vbs

Tokenstealer.vbs – это сценарий Visual Basic, который извлекает информацию с зараженного хоста, включая название продукта, идентификатор продукта и ключ продукта, и сохраняет ее в папке "C:\temp\WindowsInfo.txt".

Tokenstealer2.vbs

Tokenstealer2.vbs — это сценарий Visual Basic, который выполняет файл, находящийся в папке «C:\temp\finalres.bat». Finalres.bat — это переименованный файл tokenstealer.bat.

Tokenstealer.bat

Tokenstealer.bat — это пакетный файл, который выполняет следующие действия

Sendhookfile.exe

Рисунок 4: Декомпилированный код sendhookfile.exe

Проблемы с выполнением

Во время нашего анализа исполняемый файл аварийно завершил работу в нашей тестовой среде, как показано на рис. 5.

Рисунок 5. Сбой Discord Nitro Generator и Checker.exe

При выполнении вредоносное ПО загружало двоичные файлы в папку «C:\temp», как показано на рис. 6.

Рисунок 6. Полезные нагрузки следующего этапа, загруженные в папку «C:\temp»

Далее вредоносная программа отправляла все учетные данные жертвы через веб-перехватчики в виде сообщений чата, как показано на рис. 7.

Рисунок 7. Учетные данные, отправленные в виде сообщений чата через веб-перехватчики

Аккаунт на Github – это проблема

Проблема с TSC_V5.1

Пакет содержал исполняемый файл ItroublveTSC.exe, который используется для создания вредоносного ПО и его компонентов, как показано на рис. 9.

Рисунок 9: ItroublveTSC V5.1

Генератор работает следующим образом

  • Пользователь указывает свой токен веб-перехватчика в разделе «Веб-перехватчик здесь» и устанавливает флажок «Создать файлы Stealer». Это создает два файла, а именно «sendhookfile.exe» и «Token Stealer.bat» в папке «ItroublveTSC_V5.1\output».
  • Пользователь загружает «sendhookfile.exe» и «Token Stealer.bat» в любое приложение для обмена файлами и вставляет ссылки в генератор.
  • Пользователь также может ввести поддельное окно сообщения, добавить пользовательский значок, ввести сведения о файле, а также выбрать дополнительные параметры, включая «Сбой ПК», «Автоматическое удаление EXE», «Перезапустить Discord», «Перезагрузить ПК», « ShutdownPC» и «Пользовательский EXE».
  • Пользователь нажимает «Создать Stealer», чтобы создать файл с именем «Token Stealer.exe» в папке «ItroublveTSC_V5.1».

Мы добавили поддержку TLS 1.2 в исходный код, который мы скомпилировали как работающий двоичный файл, как показано во второй строке функции main() на рис. 10, чтобы избежать проблем с выполнением, упомянутых выше.

Рисунок 10: Исходный код ItroublveTSC_V5.1

It Troublve — OSINT

Первоначальный автор этого вредоносного ПО, Ithoublve, вставил свое прозвище как в генератор, так и во вредоносное ПО. С помощью анализа данных с открытым исходным кодом (OSINT) мы определили сервер Discord, страницу Facebook, Twitter, Instagram, веб-сайт, адрес электронной почты и канал YouTube «Itroublve». В одном из постов в Facebook Itroublve упоминает, что канал YouTube был закрыт, тем самым был создан новый канал. На момент написания этой статьи на сервере Discord компании Itroublve было 573 участника, как показано на рисунке 11.

Рисунок 11: Discord-сервер Itroubleve

Страница YouTube содержала демонстрацию использования генератора ItroublveTSC, где Itroublve продемонстрировал, как загружать файлы «Token Stealer.bat» и «Sendhookfile.exe» в Discord и генерировать общедоступные ссылки для ввода флажка как показано на рис. 12.

Рисунок 12. Создание общедоступной ссылки для «Token Stealer.bat» и «Sendhookfile.exe»

Наш анализ показывает, что несколько хакеров следовали именно этому руководству, о чем свидетельствует количество различных серверов Discord, используемых для размещения сгенерированного вредоносного ПО.

Наблюдения

TroubleGrabber – это новейший пример вредоносного ПО, которое использует облачные приложения на всех этапах цепочки уничтожения. В частности, TroubleGrabber использует четыре распространенных метода:

  • Использование облачных приложений для начальной доставки. Злоумышленники выбирают облачные приложения, которые, скорее всего, будут широко использоваться их целями.
  • Использование облачных приложений для доставки полезной нагрузки на следующем этапе. Злоумышленники все чаще используют облачные приложения для загрузки второй полезной нагрузки, опять же используя приложения, которые популярны среди их целей и, следовательно, могут быть разрешены.
  • Использование облачных приложений для управления и контроля. Как и при первоначальной доставке и доставке полезной нагрузки на следующем этапе, использование приложений, популярных среди их целей, помогает злоумышленникам избежать обнаружения.
  • Кража учетных данных облачного приложения. Это могут быть имена пользователей и пароли или жетоны. Украденные учетные данные могут быть использованы по разным причинам, в том числе для слежки за жертвой или запуска дополнительных атак из учетной записи жертвы.

TroubleGrabber имеет сходство с другими семействами похитителей паролей и токенов, такими как AnarchyGrabber, вредоносным ПО, которое крадет пароли и пользовательские токены, отключает двухфакторную аутентификацию и распространяет вредоносное ПО на сервер Discord жертвы. Однако это совершенно новая реализация, и она не связана с той же группой.

Рисунок 13. URL-адреса загрузки TroubleGrabber

Помимо этого, мы также определили, что вредоносное ПО распространяется с более чем 700 различных идентификаторов каналов сервера Discord.

Выводы

TroubleGrabber, новый похититель учетных данных, служит еще одним примером тенденции злоумышленников, использующих облачные приложения, злоупотреблять доверием пользователей к этим приложениям и избегать обнаружения. Вредоносное ПО использует Discord и Github для доставки полезной нагрузки следующего этапа и использует веб-перехватчики Discord в качестве C2 для отправки учетных данных жертв. Для таких атак требуются решения безопасности с обнаружением на уровне приложений, множественные решения для обнаружения угроз, DLP и методы машинного обучения, которые понимают язык и природу облака и Интернета. Клиенты, использующие защиту от угроз Netskope, защищены от этой угрозы.

10 ноября 2020 г. Netskope Threat Labs сообщила об элементах атаки TroubleGrabber в Discord, GitHub, YouTube, Facebook, Twitter и Instagram.

Обнаружена новая версия троянца AnarchyGrabber, который может использоваться злоумышленниками для кражи паролей в виде простого текста, отключения двухфакторной аутентификации и даже распространения вредоносного ПО среди друзей, добавленных в учетную запись неосведомленных пользователей с зараженными клиентами Discord.

Обнаружена новая версия троянца AnarchyGrabber, который может использоваться злоумышленниками для кражи паролей в виде простого текста, отключения двухфакторной аутентификации и даже распространения вредоносного ПО среди друзей, добавленных в аккаунты неосведомленных пользователей с зараженными клиентами.

Предыдущие версии AnarchyGrabber могли использоваться злоумышленниками для кражи токена пользователя Discord для получения доступа к учетной записи жертвы. Согласно отчету BleepingComputer, в AnarchyGrabber недавно были добавлены более мощные функции.

Вредоносная программа может изменить файл JavaScript клиента Discord, что позволит ему загружать дополнительные файлы из собственной папки. Когда вредоносные файлы загружаются, клиент Discord скомпрометирован, и жертва будет вынуждена снова войти в свою учетную запись.

После того, как ничего не подозревающий пользователь войдет в систему, скомпрометированный клиент попытается отключить двухфакторную аутентификацию. Затем вредоносная программа отправляет учетные данные, такие как адрес электронной почты, имя пользователя, токен пользователя, текстовый пароль и IP-адрес, через веб-перехватчик на канал Discord злоумышленника.

При отключенной двухфакторной аутентификации и доступе к учетным данным злоумышленники могут получить доступ к учетным записям жертвы.Кроме того, простые текстовые пароли могут использоваться в атаках с подстановкой учетных данных на учетные записи жертв на других платформах.

Зараженный клиент также может получать команды от злоумышленников для распространения AnarchyGrabber и других типов вредоносного ПО среди друзей, добавленных в скомпрометированную учетную запись. Эта команда заставляет клиента отправить сообщение всем друзьям, добавленным в учетную запись, содержащую вредоносное ПО.

Вы пытаетесь найти свой токен Discord? К счастью, его очень легко получить — все, что вам нужно, это веб-браузер. Имейте в виду, что есть только несколько законных причин, чтобы найти ваш токен Discord, и вы ни при каких обстоятельствах не должны передавать его другим.

Читайте дальше, чтобы узнать, для чего используется токен Discord и как его получить. Начнем!

Что такое токен Discord?

Токен Discord – это уникальный набор цифр и букв, который создается при входе в систему. По сути, это ваш код авторизации, который передается от клиента на сервер для подтверждения того, что вы являетесь владельцем учетной записи.

Ваш токен Discord обеспечивает полный доступ к вашей учетной записи и необходим для выполнения действий в Discord. Это также полезно для того, чтобы позволить ботам делать что-то от вашего имени за пределами клиента Discord.

Никогда не раздавайте свой токен Discord, так как это позволит другим выдавать себя за вас в Discord. Персонал и администратор никогда не будут запрашивать ваш токен или пароль.

Как найти токен Discord?

Если вам нужен токен Discord, найти его можно только с помощью инструментов разработчика Discord. Чтобы найти токен Discord:

  1. Откройте веб-браузер и перейдите на официальный сайт Discord.
  2. Войдите в свою учетную запись.

  1. После загрузки страницы нажмите Ctrl + Shift + I, чтобы открыть консоль Discord.
  2. Перейдите на вкладку "Сеть" и нажмите F5, чтобы перезагрузить страницу.

  1. На вкладке "Заголовки" прокрутите вниз, чтобы найти строку с надписью "Авторизация".

  1. Это значение является вашим токеном Discord — держите его в секрете.

Что такое токен бота Discord?

Боты Discord — это автоматизированные программы, которые могут выполнять различные полезные функции на вашем канале Discord. Эти функции включают приветствие новых участников, блокировку тех, кто нарушает правила, или добавление музыки и плейлистов.

Токен бота Discord, как и ваш пользовательский токен, представляет собой буквенно-цифровую фразу, которая действует как код авторизации бота для выполнения функций в клиенте Discord. Разработчики могут использовать этот токен для настройки своих ботов и предоставления им необходимых разрешений.

Чтобы получить токен бота Discord, сначала необходимо создать бота:

  1. Перейдите на портал разработчиков Discord.
  2. Нажмите «Новое приложение» и назовите своего бота.

  1. Выберите вкладку "Бот" в меню слева.

  1. После того как вы создали бота, вы можете легко найти его токен: на странице бота вы увидите панель, показывающую только что созданного бота. Под именем пользователя должен быть синий текст с надписью Click to Reveal Token. Выберите это, чтобы найти токен Discord вашего бота.

Что делать, если ваш токен Discord скомпрометирован?

Мошенники часто пытаются извлечь токены Discord (и токены ботов) людей, чтобы украсть серверы, ботов и учетные записи. Затем они используют их для спама серверов и других пользователей. Часто спам пытается распространить вредоносное ПО, предназначенное для кражи учетных данных пользователей и личной информации.

Если вы считаете, что кто-то получил доступ к вашему токену Discord, вам следует действовать немедленно. Есть две вещи, которые сбросят ваш токен и вернут вам единоличный контроль над вашей учетной записью: изменение пароля Discord и включение двухфакторной авторизации (2FA).

Чтобы изменить пароль и включить двухфакторную аутентификацию:

  1. Откройте приложение Discord или перейдите в Discord через веб-браузер.
  2. Под своим именем нажмите на значок шестеренки, чтобы открыть настройки.

  1. Прокрутите вниз, выберите «Изменить пароль» и введите безопасный пароль.

  1. Нажмите "Готово".
  2. Далее выберите «Включить двухфакторную аутентификацию».

  1. Введите пароль и нажмите Продолжить.

  1. Следуйте инструкциям, чтобы загрузить и установить приложение для проверки подлинности 2FA.

Не раздавайте свой Discord-токен

Найти токен Discord невероятно просто. Из-за этого мошенники и злоумышленники часто пытаются украсть их с помощью вредоносных программ и других средств. Чтобы избежать кражи вашего токена Discord, никогда не выдавайте его и избегайте подозрительных ссылок и загрузок.

Джейк Харфилд (Jake Harfield) — австралийский писатель-фрилансер, который интересуется принципами работы различных технологий. Он написал для нескольких интернет-изданий, уделяя особое внимание объяснению того, чему он научился, чтобы помочь другим решить их технические проблемы. Он заядлый путешественник и орнитолог, и в свободное время вы найдете его в австралийских зарослях, слушающим пение птиц. Прочитать полную биографию Джейка

Понравился ли вам этот совет? Если это так, загляните на наш собственный канал на YouTube, где мы рассказываем о Windows, Mac, программном обеспечении и приложениях, а также предлагаем множество советов по устранению неполадок и видео с практическими рекомендациями. Нажмите кнопку ниже, чтобы подписаться!

Новая обновленная версия троянца AnarchyGrabber может красть пароли и токены пользователей, отключать двухфакторную аутентификацию и распространять вредоносное ПО среди друзей жертвы.

Граббер здесь

  • AnarchyGrabber бесплатно распространяется на хакерских форумах, а также можно найти в видеороликах YouTube, в которых объясняются способы получения токенов пользователей Discord, приложения VoIP и платформы цифрового распространения.
  • Троян распространяется в Discord, выдавая себя за хакерский инструмент, игровой чит или защищенное авторским правом программное обеспечение.
  • После установки предыдущие версии AnarchyGrabber изменяют файлы JavaScript клиента Discord, превращая их в вредоносное ПО для кражи токена пользователя Discord жертвы.

В бэкенде происходит гораздо больше

  • Измененная версия, AnarchyGrabber3, может красть простые текстовые пароли жертв и приказывать им распространять вредоносное ПО своим друзьям в Discord.
  • Используя украденные пароли в виде простого текста, киберпреступники могут проводить атаки с подменой учетных данных, чтобы взломать учетные записи жертв на других сайтах.
  • После установки вредоносная программа настраивает файл клиента Discord, чтобы складывать файлы JavaScript, добавленные AnarchyGrabber3.
  • При запуске Discord загружает файл с именем inject.js, который затем загружает в клиент еще один вредоносный файл javascript с именем discordmod.js. Вредоносные сценарии выводят пользователя из клиента Discord и предлагают войти в систему.
  • После того, как жертва входит в систему, модифицированный клиент Discord отключает двухфакторную аутентификацию в ее учетной записи и отправляет адрес электронной почты пользователя, токен пользователя, имя пользователя, пароль в виде простого текста и IP-адрес на канал Discord, находящийся под контролем злоумышленника.
  • Злоумышленник может легко распространить AnarchyGrabber3 на большее количество целей или распространить другие типы вредоносных программ.

Как избавиться от AnarchyGrabber3?

Эта вредоносная программа подчеркивает опасность повторного использования паролей в нескольких учетных записях. AnarchyGrabber3 не подключается к вашей системе. Он только изменяет конфигурацию Discord для загрузки вредоносного javascript после его запуска. Если вы заражены, единственный способ отменить AnarchyGrabber3 — удалить клиент Discord и переустановить его.

Читайте также: