Abaddon RAT

Si bien la explotación de la aplicación VoIP y la plataforma de distribución digital Discord no es algo común, no es nada nuevo para los piratas informáticos que crean herramientas de malware. En el pasado, han utilizado Discord como una plataforma de alojamiento de malware o un servicio de distribución. Se creó una pieza particular de malware llamada Spidey Bot para modificar el cliente de la aplicación Windows Discord y convertirlo en un ladrón de información específicamente. En otros casos, los atacantes malvados abusaron de la función Webhooks, una herramienta útil que permite que los sitios web o aplicaciones de terceros envíen mensajes a los canales de Discord, como un lugar para dejar caer los datos recopilados de los usuarios comprometidos.

Sin embargo, un nuevo troyano de acceso remoto (RAT) llamado Abaddon está utilizando Discord como un servidor de comando y control (C2, C&C) completo, algo que los investigadores de seguridad de la información no han visto antes.

Una vez que Abaddon se infiltra en la computadora de destino, ejecuta sus procedimientos de recopilación de datos. La RAT es capaz de obtener datos confidenciales como detalles de tarjetas de crédito / débito, cookies de Chrome y credenciales, así como información diversa del sistema, incluidos detalles de hardware, dirección IP y país. Luego, el malware pasa a la aplicación Steam, si está instalada en el dispositivo comprometido, y recopila las credenciales de inicio de sesión y la lista de juegos. Finalmente, Abaddon accede a los tokens de Discord y a la información de autenticación multifactor (MFA).

Una vez que se completa el conjunto inicial de recopilación de datos, la RAT intenta establecer una conexión con el servidor de Discord C&C para obtener comandos adicionales. Cada 10 segundos se comprueba si hay nuevas instrucciones. Los piratas informáticos pueden iniciar cinco funcionalidades diferentes de Abaddon enviando los comandos adecuados. Pueden obtener una lista de todas las unidades conectadas a la computadora infectada, filtrar archivos o directorios completos, ejecutar comandos arbitrarios a través de un shell inverso, cargar todos los datos recopilados por Abaddon y borrar los registros existentes. La última capacidad amenazante de Abaddon es actuar como una amenaza de ransomware, aunque los piratas informáticos todavía están desarrollando esta "característica" en particular. Los investigadores de MalwareHunterTeam, que analizaron Abaddon, descubrieron que la nota de rescate entregada por el malware es solo un marcador de posición por el momento. Encriptar los archivos almacenados en la computadora de la víctima y luego exigir dinero para su restauración es una táctica lucrativa empleada por los ciberdelincuentes, y no sería tan sorprendente si las capacidades de ransomware de Abaddon se liberan en poco tiempo.