En ny malware kaldet NitroHack er udviklet til Discord online gaming community service. Det distribueres ved hjælp af programmets interne messaging-system, og mange brugere antages at blive påvirket.
Discord-virus kaldes NitroHack-malware leveret via DM'er
En ukendt hackinggruppe spreder aktivt en virus designet til Discord kaldet the NitroHack malware. Der er ingen information tilgængelig om hackernes identitet, men det antages, at de er erfarne for at have oprettet den. Dette er den første angrebskampagne, der bærer denne særlige trussel, som indikerer, at afhængigt af succes med de igangværende indtrængen kan der planlægges en anden bølge.
Discord-virussen spredes ved hjælp af en storskala kampagne, der inkluderer de virusinficerede filer og markedsfører dem som en Uenighed hack — det annonceres, så det giver brugerne mulighed for gratis premium-tjenester. Der er forskellige infektionsmetoder der kan bruges til NitroHack malware:
- Phishing strategier — De eksekverbare filer og alle virusrelaterede data kan annonceres ved hjælp af forfalskede sider, der udgør efterkendte virksomheder og tjenester. Ved at interagere med dem kan virussen downloades eller linkes.
- payload Carriers — Viruskoden kan indlejres i forskellige slags individuelle filer. Dette kan omfatte makro-inficerede dokumenter der kan være af alle populære formater og også ansøgning installatører. De kan spredes ved hjælp af de nævnte phishing-strategier eller uploades til fildeling netværk hvoraf BitTorrent er det mest populære eksempel. Idet malware er temaet Discord, kan bærerfilerne fås til at vises som Discord-opdateringer, plugins, temaer og andre relaterede data.
- Andre Malware Deployment — NitroHack malware kan installeres af anden malware, der tidligere har inficeret systemet. Populære eksempler er browser hijackers eller fil kryptering ransomware.
De målrettede brugere vil modtage meddelelser fra hacker-kontrollerede sider eller allerede kompromitterede brugere. De kan indeholde vedhæftede filer eller links, der fører til virusfilerne direkte eller destinationssider. I andre tilfælde kan brugerne blive narret til at åbne omdirigeringslinks — de hostes normalt på forkortede URL-tjenester for at skjule slutpunktets adresse.
NitroHack Malware inkluderer sofistikeret funktionalitet
Så snart virussen er implanteret på en given computer, starter den et indbygget infektionsmønster. En af de første handlinger, der er en del af denne operation, inkluderer ændring af den vigtigste Discord-eksekverbare fil for at medtage en Trojan komponent. A systemmodifikation følger ved at ændre en fil, der er placeret i mappen Discord's Application Data. Der anvendes farlig kode på det. Derudover er også JavaScript-filer, der bruges af tjenesten, målrettet.
Når disse ændringer er implementeret a vedvarende infektion vil blive initialiseret. Dette betyder, at malware-koden automatisk startes, når computeren er tændt. I nogle tilfælde kan det også ændre indstillingerne for systemtjenester og brugerinstallerede applikationer og forhindre dem i at køre. Andre systemændringer kan omfatte begrænsningerne, når du får adgang til gendannelsesindstillingerne. Dette kan gøre det meget vanskeligt at følge de fleste manuelle fjernelsesmetoder.
En af nøglefunktionerne i NitroHack Malware ser ud til at være relateret til evnen til kapre følsomme oplysninger. I tilfælde af denne særlige trussel inkluderer dette evnen til stjæle oplysninger fra webbrowsere, eksempler er Chrome, Discord, Opera, Modig, Yandex Browser, Vivaldi, og krom. Oplysningerne scannes for enhver Diskord-tokens som muligvis er gemt i dem. Når følsomme oplysninger er blevet registreret, vil de automatisk blive sendt til en hacker-betjent Discord-kanal.
En anden farlig funktion, der er fundet i de aktuelle versioner af malware, er stjæling af økonomiske data. Dette gøres ved at angive betalingskortoplysninger og forsøge at oprette en websideoverlejring der åbner en betalingsform, der narrer brugerne til at indtaste følsomme data.
I sidste ende vil virussen kapre vennelisten af Discord-ofrene og sender meddelelser, der indeholder virussen, igen foregiver at være et Discord-hack. Ved hjælp af denne ormlignende forplantning var NitroHack malware i stand til hurtigt at samle en storskala gruppe af inficerede computere.
Computerbrugere, der tror, at de er inficeret af virussen, kan Kontroller deres Discord-installationer ved at åbne filen %AppData% \ Discord 0.0.306 moduler discord_voice index.js og kontroller, om der er ændringer. En ikke-ændret version af filen slutter med følgende linje:
module.exports = VoiceEngine;