TroubleGrabber é o novo credential stealer direcionado a utilizadores do Discord.

O TroubleGrabber, o mais recente malwares da família infostealer/credential stealer. Esta ameaça dissemina-se na Internet através de anexos do Discord e usa webhooks do Discord para enviar os detalhes exfiltrados das vítimas de volta aos seus operadores.

Discord is a VoIP, IM, and distribution platform designed for creating communities, which facilitates communication via voice calls, video calls, text messaging, media, and files in private and public chat.

 

O TroubleGrabber tem algumas semelhanças com o AnarchyGrabber, outro Trojan que rouba credenciais, embora pareça ser executado de forma diferente. O TroubleGrabber foi escrito por um indivíduo chamado “Itroublve” e atualmente é usado por vários agentes de ameaças para atingir utilizadores do Discord.

O TroubleGrabber é endereçado às vítimas via drive-by-download, rouba tokens dos web-browsers, tokens do webhook do Discord, palavras-passe do navegador de internet e informações do sistema. O TroubleGrabber visa principalmente os jogadores online, com base nos nomes dos ficheiros maliciosos entregues na campanha e do próprio mecanismo de entrega.

TroubleGrabber was first discovered in October 2020, when more than 5,700 public Discord attachment URLs hosting malicious content mostly in the form of Windows executable files and archives were found.

 

 

Fluxo de ataque

A kill chain do TroubleGrabber é a seguinte:

 

O TroubleGrabber é endereçado à vítima através de um link com um anexo do Discord. Em seguida, os próximos estágios são carregados via Discord do GitHub. O payload final é então responsável por exfiltrar  credenciais das vítimas, como p.ex., informações do sistema, endereço IP, passwords do navegador web e tokens e envia os detalhes via uma mensagem de chat de volta aos criminosos usando uma URL do webhook.

 

Detalhes enviados de volta ao criminoso:

Screenshot showing credentials sent as chat messages via webhooks

 

YARA RULE

rule TroubleGrabber_PWS
{
    meta:
        
        info = "TroubleGrabber is a credential stealer that is being spread through Discord attachments and using Discord messages to communicate stolen credentials back to the attacker"
    strings:
        $a1 = "TOKEN_STEALER_CREATOR.Properties"
        $a2 = "discordapp.com/attachments/"  nocase wide ascii
    condition:
        all of ($a*)
}

rule TroubleGrabber_Sendhookfile
{
    meta:
        
        info = "TroubleGrabber is a credential stealer that is being spread through Discord attachments and using Discord messages to communicate stolen credentials back to the attacker"
    strings:
        $a1 = "sendhookfile.Properties"  nocase wide ascii
        $a2 = "TokenStealer"  nocase wide ascii
        $a3 = "api/webhooks"  nocase wide ascii
    condition:
        all of ($a*)
} 

rule TroubleGrabber_TokenStealer
{
    meta:
        
        info = "TroubleGrabber is a credential stealer that is being spread through Discord attachments and using Discord messages to communicate stolen credentials back to the attacker"

    strings:
        $a1 = "**INJECTION STARTED!**"  nocase wide ascii
        $a2 = "systeminfo | findstr"  nocase wide ascii
        $a3 = "curl -X POST -H"  nocase wide ascii
    condition:
        all of ($a*)
}

 

Mais detalhes sobre a ameaça aqui: https://www.netskope.com/blog/here-comes-troublegrabber-stealing-credentials-through-discord