Malware Builder adalah program yang dapat membuat executable mereka sendiri di atasnya. Analis ancaman dari Uptycs menemukan sampel yang dijuluki “KurayStealer.” Menurut peneliti, malware tersebut telah digunakan untuk menargetkan pengguna Discord.
Penulis di balik KurayStealer jelas mengambil inspirasi – dan kode – dari serangan-serangan lainnya. “Kami telah melihat beberapa versi serupa lainnya beredar di repositori publik seperti github,” catat para peneliti, menyimpulkan bahwa “pembuat KurayStelaer memiliki beberapa komponen pencuri kata sandi yang berbeda.”
Saat pertama kali dijalankan, KurayStealer menjalankan pemeriksaan untuk menentukan apakah pengguna jahat menjalankan versi gratis atau “VIP” (berbayar).
Selanjutnya, ia mencoba untuk mengganti string “api/webhooks” dengan “Kisses” di BetterDiscord – versi diperpanjang dari aplikasi Discord, dengan fungsionalitas yang lebih besar untuk pengembang. Jika tindakan ini berhasil, peretas dapat merusak aplikasi untuk menyiapkan webhook.
Webhook adalah mekanisme di mana halaman web dan aplikasi dapat mengirim data waktu nyata satu sama lain melalui HTTP. Mereka seperti API, perbedaan utamanya adalah bahwa webhook mengirim informasi secara otomatis, tanpa memerlukan permintaan dari penerima.
Dengan webhook, program mengambil tangkapan layar dan mengambil lokasi geografis mesin target. Kemudian mulai berburu kredensial: mencari kata sandi, token, alamat IP, dan lainnya dari Discord, Microsoft Edge, Chrome, dan 18 aplikasi lainnya. Setiap data yang dijelajahi dalam proses ini disalurkan kembali ke penyerang melalui webhook.
Selengkapnya: Threat Post
