این بدافزار کاربران Discord را هدف قرار داده و طوری طراحی شده که با دستکاری نرم افزار ویندوز آن، این برنامه را به یک بک دور تبدیل کرده و از آن برای سرقت اطلاعات کاربر استفاده می کنند.

نرم افزار Discord یک برنامه الکترونی است. به این معنی که برای طراحی آن از HTML، CSS و جاوا اسکریپت کمک گرفته شده است. با توجه به این خصیصه می توان بد افزار را طوری طراحی کرد که هنگام اجرای برنامه، فایل های اصلی آن دستکاری شده و خود برنامه به یک بدافزاز تبدیل شود.

این بد افزار در اوایل ماه جاری کشف شده و به دلیل نحوه استفاده و کانالی که از آن طریق به برنامه ضربه می زند، ربات اسپایدر نام گذاری شده است اما توسعه دهنده آن که هویتی مخفی دارد، آن را با نام “بلو فیس” معرفی می کند.

اطلاعاتی که از طریق این برنامه جمع آوری می شوند شامل:

  • توکن های کاربری دیسکورد
  • منطقه زمانی کاربر
  • اندازه تصویر
  • IP محلی
  • IP عمومی از طریق WebRTC
  • اطلاعات کاربر مثل نام کاربری، آدرس ایمیل، شماره تلفن و…
  • اطلاعات حساب ذخیره شده
  • 50 حرف ابتدایی کلیپ بورد قربانی
  • نسخه نرم افزار Discord

در این بین نگران کننده ترین مورد حروف کیپ بورد می باشد، چرا گه از این طریق هکر می تواند به رمز ها، اطلاعات شخصی، یا اطلاعات شخصی دیگری که کاربر آنها را کپی کرده، دسترسی یابد.

بعد از ارسال اطلاعات، این بدافزار کدی اجرا می کند که از آن پس نرم افزار Discord به یک بک دور تبدیل می شود.

با این کار سیستم قربانی از راه دور به یک وب سایت متصل می شود که هکر از آن طریق می تواند دستورات مخرب بیشتری اجرا کند. مثلا اطلاعات کارت قربانی را هنگام خرید سرقت کرده یا بدافزار های بیشتری روی کامپیوتر قربانی نصب می کند.

در حال حاضر این سایت غیر فعال می باشد اما ممکن است افراد دیگری از همین روش استفاده کرده و سایت های دیگری برای فعالیت های خود معرفی کنند.

محققان از طریق مهندسی معکوس دریافتند که اطلاعات به سرقت رفته در یک فایل ذخیره شده و هنگام اتصال کاربر به اینترنت، به سرور هکر ارسال می شود. نحوه انتشار این بد افزار کاملا مشخص نیست اما گمان ها بر این است که هکر این بدافزار را از طریق سیستم ارسال پیام خود برنامه منتشر می کند.

در این روش قربانی از همه جا بی خبر بوده و به هیچ وجه نمی تواند حدس بزند که هک شده  بنابراین به فعالیت های معمول خود ادامه خواهد داد.

حتی در صورت شناسایی و حذف بدافزار، فایل های دستکاری شده Discord در جای خود باقی مانده و به فعالیتشان ادامه می دهند.

نکته نا امید کننده اینجا است که با وجود انتشار این خبر، نرم افزار Discord در تشخیص ویروس ها از 65 نمره 24 را بدست آورده است.

نحوه تشخیص دستکاری شدن نرم افزار:

این کار بسیار راحت می باشد. به آدرس نصب نرم افزار رفته و از آدرس \Discord\[version]\modules\discord_modules\index.js فایل index.js را با نوت پد باز کنید. همانطور که در تصویر زیر نشان داده شده است. در این فایل تنها باید یک خط نوشته وجود داشته باشد.

همچنین در فایل \Discord\[version]\modules\discord_desktop_core\index.js بازهم باید فقط یک خط نوشته باشد مثل تصویر زیر:

در صورتی که در فایل های بالا به غیر از خط نشان داده شده در تصویر، نوشته دیگری وجود داشته باشد، باید برنامه را پاک کرده و دوباره نصب کنید.


پشتیبانی فنی رایگان

نظرات

نظر (به‌وسیله فیس‌بوک)