Вирус Discord, также называемый Spidey Bot, представляет собой вредоносное ПО, которое нацелено на пользователей Discord, модифицируя клиент Windows Discord и превращая его в трояна, крадущего информацию, и вредоносную программу для регистрации ключей.
Discord — это бесплатная приложение для голоса, видео и чата, популярное в игровом сообществе. Он доступен на всех основных платформах, таких как Windows, iOS, Android, macOS и Linux. Есть даже возможность загрузить его как расширение для браузера.
Что может сделать вирус Discord?
Discord в основном написан на популярных языках веб-программирования HTML, CSS и JavaScript. Благодаря этому киберпреступники могут изменять его основные файлы и вставлять код, который выполняет вредоносное поведение во время запуска.
Вредоносный код вредоносной программы добавляется в следующие папки % AppData% Discord Файлы [версия] modules discord_modules index.js и % AppData% Discord [версия] modules discord_desktop_core index.js .
Top 5 Best Discord Bots!
Для загрузки нового кода создатели вредоносного ПО принудительно перезапускают приложение Discord. Такое поведение является одним из явных признаков заражения.
После запуска вредоносная программа выполняет различные функции JavaScript и команды Discord API, которые собирают конфиденциальную информацию о пользователе.
Информация, собранная посредством выполнения вышеуказанного кода, включает:
- токен пользователя Discord
- часовой пояс жертвы
- Разрешение экрана
- IP-адреса жертвы, т. е. локальный и общедоступный адрес через WebRTC.
- Информация о пользователе, включая имя пользователя, адрес электронной почты, номер телефона и физическое местонахождение.
- Первые 50 символов в буфере обмена Windows жертвы.
- Сохраненная информация о платеже
- Коэффициент масштабирования
- Пользовательский агент браузера
- Версия Discord
После того, как вы закончите сканирование своего компьютера с помощью средства защиты от вредоносных программ, используйте Интернет, чтобы загрузить средство для ремонта ПК. Инструмент восстановления поможет очистить папки и файлы, которые вредоносная программа Discord использует в качестве укрытия. Это также упростит удаление проблемных приложений и остановку элементов автозагрузки, которые потребляют слишком много вычислительной мощности.
Что еще вы можете сделать, чтобы удалить вирус Discord, не использующий средство защиты от вредоносных программ? Если вы являетесь пользователем Windows, существует множество инструментов восстановления и служебных приложений, которые вы можете использовать для удаления всех видов вредоносных программ.
Если у вас есть точка восстановления, созданная до установки приложения Discord на вашем компьютере, сейчас самое время использовать его. Параметр «Восстановление системы» отменяет любые изменения в системных файлах, приложениях и файлах конфигурации вашего ПК после этой конкретной точки восстановления.
Чтобы перейти к параметру восстановления системы, следуйте инструкциям, ведущим к безопасному режиму с загрузкой сетевых драйверов, но выберите Восстановление системы вместо Параметры запуска . Когда вы выбираете точку восстановления, убедитесь, что приложение Discord находится в списке затронутых программ.
Удалите приложение Discord
Технически говоря, параметр восстановления системы действует для удаления приложений и настроек после определенной точки восстановления. . В приведенной выше ситуации он использовался для удаления приложения Discord, что также можно выполнить с помощью панели управления. Вот как:
Если вам интересно, цель удаления Discord состоит не в том, чтобы полностью выполнить удалить приложение, но установить новую версию после завершения очистки от вредоносных программ.
Как предотвратить заражение вирусом Discord
После установки нового бесплатного приложения Discord вы должны принять ряд мер безопасности, которые предотвратят заражение в будущем. Вот список наиболее важных:
- Обновите все приложения на вашем компьютере, так как это исправит все существующие уязвимости.
- Сканируйте свой компьютер как можно чаще. с помощью премиального решения для защиты от вредоносных программ.
- Используйте средство для очистки ПК, чтобы удалить любые ненужные файлы, которые могут использоваться вредоносными объектами.
- Загружайте программные продукты только с надежных imgs. >
YouTube видео: Что такое вирус раздора
06, 2023
Источник: ru.purelysandy.com
Найден новый зловред, который делает Discord для Windows средством шпионажа
Фото: www.bleepingcomputer.com
Специалисты выявили вредоносную программу Spidey Bot, которая использует легитимный клиент Discord для Windows и превращает его в средство для шпионажа и кражи информации.
Discord представляет собой Electron-приложение, и почти вся его функциональность основана на HTML, CSS и JavaScript. Это позволяет хакерам модифицировать ключевые файлы.
Так, при установке Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%Discord[version]modulesdiscord_modulesindex.js и %AppData%Discord[version]modulesdiscord_desktop_coreindex.js. Он завершит работу Discord и перезапускает программу для вступления изменений в силу.
Вредоносный JavaScript способен использовать различные команды Discord API и функции JavaScript, чтобы собирать данные о пользователе. Затем вся информация передается злоумышленнику через веб-хук Discord.
Таким образом, хакеры могут завладеть Discord-токеном пользователя; его часовым поясом; разрешением экрана; локальным IP-адресом; публичным IP-адресом (WebRTC); информацией о пользователе — именем, адресом электронной почты, номером телефона и другими данными; данными о платежной информации; user agent браузера; версией Discord; первыми 50 символами из буфера обмена.
Затем malware выполняет функцию fightdio(), которая действует как бэкдор и используется для подключения к удаленному сайту и ожидания дополнительных команд. То есть теперь хакер может украсть платежную информацию, выполнить ряд команд на машине жертвы и установить другое вредоносное ПО.
Эксперт Виталий Кремез сообщил, что в ходе заражения используются файлы с именами Blueface Reward Claimer.exe и Synapse X.exe. По его мнению, злоумышленники используют обычные сообщения в Discord для распространения вредоноса.
По данным экспертов, такого рода атаки особенно опасны, так как внешне не проявляют себя. Подозрительную активность можно заметить, лишь обнаружив странные вызовы API и веб-хуков. А защитные решения пока плохо обнаруживают malware. По информации VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.
Если же программа обнаружена и удалена, то измененные файлы Discord по-прежнему остаются зараженными и продолжают выполняться при каждом запуске клиента. Таким образом, нужно удалить приложение Discord и переустановить его. Пользователь может обнаружить зараженные файлы, открыв клиент Discord в «Блокноте». Для %AppData%Discord[version]modulesdiscord_modulesindex.js он должен содержать всего одну строку «module.exports = require (‘./discord_modules.node’);».
Для файла %AppData%Discord[version]modulesdiscord_desktop_coreindex.js он должен содержать только «module.exports = require (‘./core.asar’);».
Если любой из двух файлов содержит код, отличный от того, что показан выше, необходимо удалить и переустановить клиент.
Источник: habr.com
Злоумышленники превращают Discord в бэкдор и вынуждают воровать данные
Рекомендуем почитать:
Xakep #288. Неправильные эльфы
- Содержание выпуска
- Подписка на «Хакер» -60%
Издание Bleeping Computer сообщило о появлении новой малвари, которая эксплуатирует легитимный клиент Discord. ИБ-специалист MalwareHunterTeam обнаружил малварь Spidey Bot, которая превращает Discord для Windows в средство для шпионажа и кражи информации.
Так как Discord является Electron-приложением, почти вся его функциональность основана на HTML, CSS и JavaScript, что позволяет злоумышленникам модифицировать ключевые файлы и вынудить клиента заниматься вредоносной активностью.
Во время установки Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%Discord[version]modulesdiscord_modulesindex.js и %AppData%Discord[version]modulesdiscord_desktop_coreindex.js. Затем вредонос завершит работу Discord и перезапустит программу для вступления изменений в силу.
После запуска вредоносный JavaScript будет использовать различные команды Discord API и функции JavaScript для сбора информации о пользователе, которая затем будет передана злоумышленнику через веб-хук Discord. В числе этих данных будут:
- Discord-токен пользователя;
- часовой пояс жертвы;
- разрешение экрана;
- локальный IP-адрес;
- публичный IP-адрес (WebRTC);
- информация о пользователе, в том числе имя пользователя, адрес электронной почты, номер телефона и так далее;
- данные о том, хранит ли жертва платежную информацию;
- user agent браузера;
- версия Discord;
- первые 50 символов из буфера обмена жертвы.
После передачи этой информации своим операторам малварь выполнит функцию fightdio(), которая действует как бэкдор. Данная функция будет использоваться для подключения к удаленному сайту и ожидания дополнительных команд. Это позволит злоумышленнику выполнять другие вредоносные действия, включая кражу платежной информации, выполнение команд на машине жертвы и установку другого вредоносного ПО.
Еще один известный ИБ-эксперт Виталий Кремез тоже изучил новую малварь и сообщает, что в ходе заражения используются файлы с такими именами, как Blueface Reward Claimer.exe и Synapse X.exe. И хотя исследователь не уверен до конца, как именно распространяется Spidey Bot, он полагает, что злоумышленники используют обычные сообщения в Discord для распространения угрозы
Аналитики отмечают, что подобные атаки опасны тем, что не демонстрируют никаких внешних признаков компрометации. Заметить подозрительную активность можно лишь обнаружив странные вызовы API и веб-хуков. Хуже того, защитные решения пока плохо обнаруживают эту малварь. Так, согласно VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.
Источник: xakep.ru