С расширением функциональности платформы Discord как популярного инструмента для коммуникации и игр, наметилась тревожная тенденция – активизация киберпреступников. Новые угрозы, такие как троянец удаленного доступа (RAT), написанный на базе Python, становятся серьезной проблемой для пользователей. Этот RAT использует API Discord для осуществления вредоносных действий, что ставит под угрозу как обычных пользователей, так и администраторов серверов.
Как работает RAT
Технический анализ RAT показывает, что он функционирует как сервер управления (C2), позволяя злоумышленникам:
- Выполнять произвольные команды на скомпрометированных устройствах;
- Красть конфиденциальную информацию;
- Захватывать содержимое экрана;
- Контролировать как компьютеры жертв, так и сервера Discord.
RAT запускается после настройки бота Discord с обширными правами доступа, который способен читать все сообщения и выполнять предопределенные вредоносные команды. Жестко запрограммированный токен бота создает риск несанкционированного доступа, позволяя злоумышленникам извлекать сохраненные пароли из локальной базы данных Google Chrome.
Адаптивность и возможности RAT
Интересно, что в случае отсутствия нужного файла для входа, бот адаптируется и продолжает свою работу. Скрипт включает механизмы удаленного выполнения команд, что дает преступникам возможность запускать любые команды оболочки на системе жертвы. Бэкдор-оболочка выводит результаты команд обратно в Discord, позволяя злоумышленникам поддерживать контроль над скомпрометированной системой до момента, когда они решат завершить свои действия.
Мониторинг и устойчивость
Важной функцией RAT является способность захвата скриншотов. Используя библиотеку mss, он создает живые скриншоты экрана жертвы, преобразует их в формат PNG и отправляет через Discord, обеспечивая непрерывное наблюдение за действиями жертвы. Для поддержания постоянного присутствия RAT применяет механизм повторного подключения к Discord API, что гарантирует его активность даже после отключения. Бот продолжает работать на неопределенный срок, пока не будет остановлен вручную.
Контроль над серверами Discord
Кроме того, RAT демонстрирует возможности манипуляции с серверами Discord, включая:
- Удаление и воссоздание каналов;
- Создание новых каналов, включающих имя пользователя и название компьютера жертвы.
Эти функции позволяют злоумышленникам сохранять контроль и использовать серверы Discord для своих целей.
Растущая угроза, связанная с RAT, требует внимания со стороны экспертов по кибербезопасности и пользователей, так как невнимательность может привести к серьезным последствиям.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Киберугроза: Python-троянец контролирует Discord с помощью RAT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
