Cabecera-v2-web.jpg

Nuevo malware llamado “TroubleGrabber” obtiene credenciales e información del sistema de las víctimas, aprovechando los servicios de Discord


Fecha: 18/11/2020

Investigadores de seguridad han descubierto recientemente un nuevo malware llamado “TroubleGrabber” que aprovecha los servicios de Discord como servidor de comando y control (C2) para recibir información confidencial robada de dispositivos infectados. Se propaga a través de enlaces adjuntos de Discord.

1. ¿Cómo ocurre la infección?

La infección comienza cuando el ciberdelincuente consigue que sus víctimas descarguen el malware y se infecten, utilizando técnicas como drive-by-download, es decir, convenciendo a una potencial víctima para que visite una página web maliciosa, mediante enlaces adjuntos de Discord, con nombres de archivo que se hacen pasar por trampas del juego, instaladores de Discord y cracks de software. TroubleGrabber se está utilizando activamente y apunta a los jugadores.

2. Proceso de ataque del malware

Utilizan Discord y Github para la descarga de payloads en la carpeta C:/temp, una vez que la víctima se encuentra infectada. El autor de este malware cuenta actualmente con un servidor de Discord con más de 500 miembros y aloja los payloads de la siguiente etapa de ataque, así como también el generador del malware en su cuenta pública de Github.

Una vez dentro del sistema, TroubleGrabber roba una amplia gama de información importante que incluye tokens de navegador web, tokens de webhook de Discord, contraseñas del navegador web e información del sistema.

Uno de los binarios descargados es el software WebBrowserPassView, el cual es utilizado para obtener la lista completa de las contraseñas almacenadas en los navegadores del equipo.

3. Envío de información robada

Toda la información robada se envía a los servidores de Discord utilizando las funcionalidades de ‘webhooks‘ como un mensaje de chat al servidor de Discord del atacante. Gracias a la funcionalidad de webhook, el malware puede enviar la información realizando una petición HTTP a los servidores de Discord y el atacante recibe dicha información como si se tratase de un mensaje de Discord normal, enviado por un bot legítimo.

El flujo de ataque de TroubleGrabber se puede observar en la siguiente imagen:

La ventaja que tienen los ciberdelincuentes al utilizar los servidores de Discord, es que es más difícil bloquear la comunicación con los ciberdelincuentes ya que al utilizar servidores legítimos de la suite de seguridad, no se puede bloquear la comunicación de una manera sencilla. Sin embargo, Discord está comenzando a implementar mecanismos de detección automática de este tipo de abusos.

Recomendaciones:

  • Prestar atención a los enlaces sospechosos recibidos. Antes de ingresar cualquier enlace, asegúrese de que provenga de fuentes confiables.
  • Mantener el sistema operativo de sus dispositivos y software utilizados siempre actualizados con los últimos parches de seguridad proveídos por los fabricantes desde sus sitios web oficiales. En este caso, también Discord.
  • Considerar la instalación de soluciones de antivirus y mantenerlo actualizado con los últimos parches publicados por el fabricante desde su sitio web oficial, de modo a prevenir una potencial infección.
  • Realizar análisis periódicos a través de las soluciones de seguridad implementadas.
  • Deshabilitar la ejecución automática de Javascript. Para ello existen complementos o extensiones en los navegadores web como No-Script y ScriptSafe, que deshabilitan por defecto la ejecución de Javascript, permitiendo al usuario habilitar únicamente en páginas de confianza.

Ante sospechas de infección:

  • Cambie de forma inmediata las contraseñas utilizadas y/o guardadas dentro del dispositivo.
  • Desconecte el equipo de internet, para evitar que el malware se propague por la red.
  • Realice un análisis completo del sistema en búsqueda de amenazas.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11