TroubleGrabber Malware

La cantidad de amenazas de malware que explotan la plataforma social Discord y la aplicación de chat de voz está creciendo constantemente, y una de ellas es Trouble Grabber Malware. El Malware Trouble Grabber fue detectado por primera vez por investigadores que monitorearon las URL públicas de archivos adjuntos de Discord en busca de contenido inseguro. TroubleGrabber abusa de Discord de varias maneras, tanto como plataforma de comunicación de entrega como de comando y control (C2, C&C). Otro servicio legítimo, GitHub, se utiliza como repositorio de cargas útiles de segunda etapa entregadas por la amenaza.

La cadena de ataque del Malware TroubleGrabber comienza con la entrega de la amenaza a la computadora objetivo a través de un enlace adjunto de Discord. El enlace conduce a un archivo que contiene un archivo ejecutable. Ambos se hacen pasar por una aplicación legítima llamada Discord Nitro Generator. Cuando se ejecutan 'Discord Nitro Generator y Checker.exe', procede a colocar cinco cargas útiles adicionales en el dispositivo comprometido: Curl.exe, WebBrowserPassView.exe, Tokenstealer.vbs, Tokenstealer.bat y Sendhookfile.exe. Todas las cargas útiles de la segunda etapa se toman de un repositorio de GitHub y se descargan en la ubicación C: \ temp.

Tokenstealer.bat es el principal coordinador de las actividades dañinas de la amenaza. Es responsable de ejecutar algunas de las cargas útiles adicionales. WebBrowserPassView.exe recolecta las contraseñas guardadas en todos los navegadores web de la víctima y luego las almacena en ' C: /temp/Passwords.txt . Utiliza Curl.exe para exfiltrar ciertos datos al servidor Discord del atacante, como nombre de usuario, dirección IP, SystemInfo, hora y datos, así como tokens pertenecientes a Discord, PTB y Canary. Tokenstealer.bat también se encarga del proceso de limpieza diseñado para minimizar los rastros dejados por las actividades de TroubleGrabber al eliminar 'ip_address.txt,' 'WindowsInfo.txt,' 'Passwords.txt,' 'curl-ca-bundle.crt,' Archivos 'curl.exe' y 'CustomEXE.exe' . Como paso final, reinicia la computadora comprometida.

El repositorio de GitHub utilizado por TroubleGrabber pertenece a un usuario llamado 'Ithoublve', que parece ser el desarrollador original de la amenaza. Además de las cargas útiles de la segunda etapa, el repositorio también tenía un ejecutable llamado 'ItroublveTSC.exe', que es un generador del malware y sus componentes. Cualquiera con acceso al generador puede modificar la amenaza de malware de acuerdo con sus preferencias suministrándole sus propios webhooks Discord, ingresando un mensaje falso, eligiendo un ícono personalizado y ajustando qué funcionalidades adicionales desean incluir: 'Crash PC' ' Eliminación automática de EXE, "Reiniciar Discord", "Reiniciar PC", "Apagar PC" y "EXE personalizado".