ผู้โจมตีกำลังใช้ RedTiger ซึ่งเป็นเครื่องมือแบบ open-source สำหรับ Red Team เพื่อสร้างมัลแวร์ขโมยข้อมูล ที่รวบรวมข้อมูลบัญชี Discord และข้อมูลการชำระเงิน

มัลแวร์ตัวนี้ยังสามารถขโมยข้อมูล Credentials ที่จัดเก็บไว้ในเบราว์เซอร์, ข้อมูล cryptocurrency และบัญชีเกมได้อีกด้วย

RedTiger เป็นชุดเครื่องมือ penetration testing suite ที่มีพื้นฐานจากภาษา Python สำหรับ Windows และ Linux ซึ่งรวบรวม options ต่าง ๆ ไว้ด้วยกัน เช่น การสแกนเครือข่าย, การเจาะรหัสผ่าน, เครื่องมือเกี่ยวกับ OSINT, เครื่องมือที่เน้นการโจมตี Discord และเครื่องมือการสร้างมัลแวร์

Component ที่ใช้ในการขโมยข้อมูลของ RedTiger มีความสามารถพื้นฐานในการขโมยข้อมูลระบบ, คุกกี้ และรหัสผ่านจากเบราว์เซอร์, ไฟล์ crypto wallet, ไฟล์เกม และข้อมูลของ Roblox และ Discord นอกจากนี้ มันยังสามารถจับภาพจากกล้องเว็บแคม และถ่ายภาพหน้าจอของเหยื่อได้อีกด้วย

แม้ว่าบน GitHub โปรเจกต์นี้จะระบุว่าฟังก์ชันอันตรายต่าง ๆ มีไว้ใช้ในทางที่ถูกกฏหมายเท่านั้น แต่การที่มันถูกเผยแพร่ฟรีอย่างไม่มีเงื่อนไข และขาดมาตรการป้องกันใด ๆ ก็ตาม ทำให้จึงสามารถนำไปใช้ในการโจมตีทางไซเบอร์ได้

Netskope ระบุว่า ผู้ไม่หวังดีกำลังใช้ component มัลแวร์ขโมยข้อมูลของ RedTiger ในการโจมตี โดยมีเป้าหมายหลักเพื่อโจมตีผู้ใช้บัญชี Discord ที่เป็นชาวฝรั่งเศส

ผู้โจมตีได้ compiled โค้ดของ RedTiger โดยใช้ PyInstaller เพื่อสร้างไฟล์ standalone binaries และตั้งชื่อไฟล์เหล่านั้นให้เกี่ยวข้องกับเกม หรือ Discord

เมื่อมัลแวร์ขโมยข้อมูลถูกติดตั้งบนเครื่องของเหยื่อ มันจะสแกนหาไฟล์ฐานข้อมูลของ Discord และเบราว์เซอร์ จากนั้น มันจะดึง token ทั้งแบบธรรมดา และแบบเข้ารหัสออกมาผ่าน regex เพื่อตรวจสอบความถูกต้องของ token และดึงข้อมูลโปรไฟล์, อีเมล, ข้อมูล MFA และข้อมูล subscription

จากนั้น มันจะแทรก JavaScript ที่ custom เข้าไปในไฟล์ index.

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแพ็กเกจที่เป็นอันตรายบน Python Package Index (PyPI) repository ที่ปลอมเป็นเครื่องมือที่เกี่ยวข้องกับ Discord ซึ่งดูเหมือนไม่เป็นอันตราย แต่ที่จริงแล้วมีมัลแวร์ประเภท Remote Access Trojan (RAT) ฝังไว้ (more…)

โอเพนซอร์สตัวใหม่ Trap Stealer สามารถขโมยข้อมูลในเวลาเพียง 6 วินาที

Trap Stealer เป็นโปรแกรมโอเพนซอร์สที่ใช้ Python ที่ออกแบบมาเพื่อดึงข้อมูลที่สำคัญจำนวนมากจากระบบที่ถูกโจมตีภายในเวลาเพียง 6 วินาที
(more…)

Discord.io ไม่ใช่เว็บไซต์ Discord แต่เป็นบริการของผู้ไม่หวังดีที่อนุญาตให้เจ้าของเซิร์ฟเวอร์ สร้างคำเชิญที่กำหนดเองไปยังช่องของตน และบริการส่วนใหญ่สร้างขึ้นจากเซิร์ฟเวอร์ Discord โดยมีสมาชิกมากกว่า 14,000 ราย ได้ออกมาประกาศเรื่องข้อมูลของสมาชิกจำนวน 760,000 รายรั่วไหลออกสู่สาธารณะ และถูกนำไปประกาศขายบนฟอรัมต่าง ๆ

เหตุการณ์นี้เกิดขึ้นเมื่อวันอาทิตย์ที่ 13 สิงหาคม 2023 มีบุคคลชื่อว่า Akhirah ได้เริ่มขายฐานข้อมูลของ Discord.

ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์

โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ

แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ

การโจมตี

การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง

โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน

AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา

โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022

ความสามารถของมัลแวร์ มีดังนี้ :

บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP

ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.

ผู้เชี่ยวชาญจาก Cyble พบแรนซัมแวร์ตัวใหม่ 'AXLocker' ซึ่งนอกจากจะเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว ยังขโมยข้อมูล Discord accounts ของเหยื่อออกไปเพื่อเรียกค่าไถ่ด้วย

โดยปกติแล้วเมื่อผู้ใช้งาน Login เข้าสู่ระบบ Discord ด้วยข้อมูลประจำตัว แพลตฟอร์มจะทำการส่งโทเค็นเพื่อตรวจสอบสิทธิ์ผู้ใช้งาน ซึ่งจะถูกเก็บไว้บนเครื่องคอมพิวเตอร์ โดยโทเค็นนี้สามารถใช้ยืนยันตัวตนเพื่อเข้าสู่ระบบในฐานะของผู้ใช้งาน ซึ่งทำให้หากผู้โจมตีได้โทเค็นดังกล่าวไป อาจทำให้สามารถควบคุมบัญชี และยังใช้ส่งคำขอ API ในการดึงข้อมูลเกี่ยวกับบัญชีที่เกี่ยวข้องได้

เนื่องจาก Discord เป็นทางเลือกสำหรับแพลตฟอร์ม NFT และกลุ่มสกุลเงินดิจิตอล ทำให้การขโมยโทเค็นของผู้ใช้งานเป็นเป้าหมายหลักของผู้โจมตี เพื่อใช้ในการขโมยเงิน และหลอกลวงการทำธุรกรรมต่าง ๆ ในส่วนของการเข้ารหัส แรนซั่มแวร์จะกำหนดเป้าหมายไฟล์บางนามสกุล และ exclude บาง folder

เมื่อทำการเข้ารหัสไฟล์ AXLocker จะไม่เพิ่มนามสกุลใด ๆ ต่อท้ายไฟล์ ซึ่งทำให้ผู้ใช้งานมองเห็นชื่อไฟล์เป็นชื่อไฟล์ปกติ จากนั้น AXLocker จะส่งรหัสของเหยื่อ รวมถึงรายละเอียดข้อมูลที่เก็บไว้บนเบราว์เซอร์ และโทเค็น Discord ไปยัง Discord ของผู้โจมตีโดยการใช้ webhook URL ซึ่งการขโมยโทเค็นจะใช้การสแกนไดเร็กทอรีดังต่อไปนี้เพื่อค้นหาโทเค็น

Discord\Local Storage\leveldb
discordcanary\Local Storage\leveldb
discordptb\leveldb
Opera Software\Opera Stable\Local Storage\leveldb
Google\Chrome\User Data\\Default\Local Storage\leveldb
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

จากนั้นเหยื่อที่ถูกโจมตีจะได้รับป๊อปอัปที่มีข้อความเรียกค่าไถ่แจ้งว่าข้อมูลถูกเข้ารหัส และวิธีติดต่อผู้โจมตี โดยในข้อความไม่มีการระบุจำนวนเงินค่าไถ่ไว้ เหยื่อมีเวลาเพียง 48 ชั่วโมงในการติดต่อกลับผู้โจมตี เพื่อถอดรหัส หรือปลดล็อคไฟล์ข้อมูล ดังนั้นหากพบว่า AXLocker เข้ารหัสคอมพิวเตอร์ของคุณ ให้รีบเปลี่ยนรหัสผ่าน Discord โดยทันที เพราะจะทำให้โทเค็นที่ถูกขโมยไปไม่สามารถใช้งานได้

ที่มา: bleepingcompute

ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมา ทีมผู้ดูแลโปรเจ็กต์ NPM ได้ทำการลบแพ็คเกจที่เป็นอันตรายและมีชื่อว่า "fallguys" โดยแพ็คเกจดังกล่าวเป็นแพ็คเกจที่ออกแบบมาเพื่อขโมยโทเค็น Discord และข้อมูลเบราว์เซอร์จาก Google Chrome, Brave Browser, Opera และ Yandex Browser

รายละเอียดการค้นพบและรายงานโดยบริษัทรักษาความปลอดภัยทางด้านโอเพ่นซอร์ส Sonatype ได้ทำการตรวจพบแพ็คเกจ NPM ที่เป็นอันตราย โดยแพ็คเกจที่ทำการตรวจพบนั้นมีชื่อเรียกว่า 'discord.

ทีม security ของ npm (Node Package Manager) ที่เป็นผู้ให้บริการ Package Manager ของ JavaScript ได้ทำการลบ JavaScript Library ที่มีชื่อว่า "twilio-npm" ออกไปเมื่อวันที่ 2 พฤศจิกายนที่ผ่านมา เนื่องจากพบว่า Script ดังกล่าวจะมีการสั่งให้แอบเปิด TCP reverse shell บนเครื่องของนักพัฒนาที่นำไปใช้ จากรายงานระบุว่า reverse shell ดังกล่าวจะเปิดการเชื่อมต่อไปยัง 4.tcp.

โทรจัน AnarchyGrabber3 รุ่นใหม่ปรับความสามารถในการขโมยบัญชี Discord

MalwareHunterteam ได้เผยถึงการค้นพบโทรจัน AnarchyGrabber3 เวอร์ชันใหม่ที่ได้รับการปรับปรุงให้มีความสามารถขโมยรหัสผ่านและโทเค็นของผู้ใช้รวมไปถึงทำการปิดการใช้งาน 2FA และสามารถกระจายมัลแวร์ไปยังเพื่อนของผู้ที่ตกเหยื่อ โดยการเเพร่กระจายโทรจัน AnarchyGrabber3 ใน Discord นั้นทำโดยการเเสร้งว่าเป็นซอฟต์แวร์เครื่องมือโกงเกม, บอทเกมหรือซอฟต์แวร์ที่มีลิขสิทธิ์

เมื่อติดตั้งซอฟต์แวร์แล้ว AnarchyGrabber3 ที่ถูกเเฝงมาจะทำการแก้ไขไฟล์ %AppData%\Discord\<version>\modules\discord_desktop_core\index.