Discord botları bilgi çalma kampanyalarında kullanılıyor

Uzmanlar, bilgisayar korsanlarının ele geçirilmiş bilgisayarlardan veri toplamak için Discord’u kullandıklarının gözlemlendiği uyarısında bulundu.

Yeni bir raporda, Trellix siber güvenlik araştırmacısı Gurumoorthi Ramanathan kötü amaçlı yazılımı ve kullandığı veri sızdırma tekniklerini detaylandırdı.

Rapora göre, tehdit aktörleri NS-STEALER adında sofistike bir bilgi hırsızı oluşturdular. Bunu, kırılmış yazılımları taklit eden ZIP arşivleri aracılığıyla dağıtıyorlar. Bir kurban arşiv dosyasını çıkardığında, “Loader GAYve” başlıklı bir Windows kısayolu bulacak ve bu kısayol çalıştırıldığında kötü niyetli bir Java programı dağıtacaktır. Bu program iki şey yapacaktır: ilk olarak “NS-<11-digit_random_number>” adında bir klasör oluşturacak ve toplanan tüm bilgileri burada saklayacaktır. Ardından verileri toplamaya başlayacaktır.

Uygun maliyetli veri sızıntısı

NS-STEALER, çerezler, kimlik bilgileri ve otomatik doldurma verileri gibi iki düzineden fazla tarayıcıda depolanan bilgileri arayacaktır. Ardından, virüs bulaşmış cihazın ekran görüntülerini almaya, sistem bilgilerini ve cihazda yüklü programların listesini almaya başlayacaktır. Daha sonra Discord belirteçlerinin yanı sıra Steam ve Telegram oturum verilerini çekecektir.

Son olarak, yukarıdakilerin hepsini bir Discord Bot kanalına sızdıracaktır.

Ramanathan, “Hassas bilgi toplama ve kimlik doğrulamayı desteklemek için X509Certificate kullanma gibi son derece sofistike işlevler göz önüne alındığında, bu kötü amaçlı yazılım [Java Runtime Environment] ile kurban sistemlerinden hızlı bir şekilde bilgi çalabilir” dedi.

“Sızdırılan verileri almak için bir EventListener olarak Discord bot kanalı da uygun maliyetlidir.”

Bu, bilgisayar korsanlarının Discord’u hain amaçları için kötüye kullanmanın bir yolunu ilk kez bulmaları değil. Aslında Discord yıllardır kötüye kullanılıyor. MalwareHunterTeam araştırmacıları 2020 yılında Discord’u komuta ve kontrol (C2) sunucusu olarak kullanan bir uzaktan erişim truva atı (RAT) bulmuştu. Aynı yıl, araştırmacılar AnarchyGrabber truva atının bir versiyonunun kurbanların düz metin şifrelerini çalmak ve hatta virüs bulaşmış bir istemciye Discord arkadaşlarına kötü amaçlı yazılım yayma komutu vermek için kullanıldığını gördü.