O TroubleGrabber, o mais recente malwares da família infostealer/credential stealer. Esta ameaça dissemina-se na Internet através de anexos do Discord e usa webhooks do Discord para enviar os detalhes exfiltrados das vítimas de volta aos seus operadores.
Discord is a VoIP, IM, and distribution platform designed for creating communities, which facilitates communication via voice calls, video calls, text messaging, media, and files in private and public chat.
O TroubleGrabber tem algumas semelhanças com o AnarchyGrabber, outro Trojan que rouba credenciais, embora pareça ser executado de forma diferente. O TroubleGrabber foi escrito por um indivíduo chamado “Itroublve” e atualmente é usado por vários agentes de ameaças para atingir utilizadores do Discord.
O TroubleGrabber é endereçado às vítimas via drive-by-download, rouba tokens dos web-browsers, tokens do webhook do Discord, palavras-passe do navegador de internet e informações do sistema. O TroubleGrabber visa principalmente os jogadores online, com base nos nomes dos ficheiros maliciosos entregues na campanha e do próprio mecanismo de entrega.
TroubleGrabber was first discovered in October 2020, when more than 5,700 public Discord attachment URLs hosting malicious content mostly in the form of Windows executable files and archives were found.
Fluxo de ataque
A kill chain do TroubleGrabber é a seguinte:
O TroubleGrabber é endereçado à vítima através de um link com um anexo do Discord. Em seguida, os próximos estágios são carregados via Discord do GitHub. O payload final é então responsável por exfiltrar credenciais das vítimas, como p.ex., informações do sistema, endereço IP, passwords do navegador web e tokens e envia os detalhes via uma mensagem de chat de volta aos criminosos usando uma URL do webhook.
Detalhes enviados de volta ao criminoso:
YARA RULE
rule TroubleGrabber_PWS
{
meta:
info = "TroubleGrabber is a credential stealer that is being spread through Discord attachments and using Discord messages to communicate stolen credentials back to the attacker"
strings:
$a1 = "TOKEN_STEALER_CREATOR.Properties"
$a2 = "discordapp.com/attachments/" nocase wide ascii
condition:
all of ($a*)
}
rule TroubleGrabber_Sendhookfile
{
meta:
info = "TroubleGrabber is a credential stealer that is being spread through Discord attachments and using Discord messages to communicate stolen credentials back to the attacker"
strings:
$a1 = "sendhookfile.Properties" nocase wide ascii
$a2 = "TokenStealer" nocase wide ascii
$a3 = "api/webhooks" nocase wide ascii
condition:
all of ($a*)
}
rule TroubleGrabber_TokenStealer
{
meta:
info = "TroubleGrabber is a credential stealer that is being spread through Discord attachments and using Discord messages to communicate stolen credentials back to the attacker"
strings:
$a1 = "**INJECTION STARTED!**" nocase wide ascii
$a2 = "systeminfo | findstr" nocase wide ascii
$a3 = "curl -X POST -H" nocase wide ascii
condition:
all of ($a*)
}
Mais detalhes sobre a ameaça aqui: https://www.netskope.com/blog/here-comes-troublegrabber-stealing-credentials-through-discord
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.