Threat Database Malware CursedGrabber Malware

CursedGrabber Malware

La cantidad de amenazas de malware que explotan la plataforma legítima de Discord parece estar proliferando. La última amenaza de este tipo detectada por los investigadores de infosec se llama 'xpc.js' y pertenece a la familia CursedGrabber Malware. Esta pieza de malware fue lanzada por el mismo pirata informático responsable del malware previamente descubierto, como discord.dll, discord.application, wsbd.js y ac-addon.

A pesar de su nombre, 'xpc.js' no es un archivo JavaScript, sino un componente npm dañado que apunta a hosts de Windows. Se entrega como un archivo llamado 'tar.gz' que contiene dos archivos EXE: 'lib.exe' y 'lib2.exe', que se ejecutan mediante scripts 'postinstall' desde el archivo de manifiesto. 'Lib.exe' es un malware de robo de información que recopila varios tipos de datos de los sistemas comprometidos y los envía de vuelta a los atacantes a través de los webhooks de Discord. La información recopilada incluye perfiles de usuario de varios navegadores, tokens de Discord, archivos de Discord leveldb, etc. La amenaza incluso intenta obtener ciertos detalles de pago e información de facturación.

El archivo 'lib2.exe' es un cuentagotas que entrega un archivo ZIP dañado. El nombre del archivo descargado y la ubicación en la que se coloca se determinan mediante un webhook codificado. El archivo ZIP contiene 34 DLL y dos archivos exe. Los ejecutables se denominan 'osloader.exe' y 'winresume.exe' y los inicia el propio 'lib2.exe'. Este malware posterior a la infección posee importantes capacidades RAT (troyano de acceso remoto). Puede escalar sus privilegios, tomar capturas de pantalla, realizar actividades de keylogging, acceder a cámaras web conectadas, etc.

Además, establece una puerta trasera con una API REST que se ejecuta en el puerto 20202 de la máquina comprometida, lo que garantiza un fácil acceso a la infraestructura de comando y control. El binario 'winresume' es una versión alterada de la aplicación legítima 'winresume.exe' que facilita la reanudación de equipos con Windows que han estado en modo de hibernación durante períodos prolongados. El objetivo es ocultar el código dañado en archivos binarios legítimos, lo que dificulta la detección de amenazas.

 Otra familia del malware Discord es TroubleGrabber, que, a diferencia de CursedGrabber, abusa de dos servicios legítimos: Discord y GitHub, como parte de sus operaciones amenazantes.

Tendencias

Mas Visto

Cargando...