1차 출처 : https://pc.watch.impress.co.jp/docs/news/1214669.html
2차 출처 : https://quasarzone.co.kr/bbs/board.php?bo_table=qn_game&wr_id=82767&page=&cmt_page=&&#c_83199
3차 출처 : https://tgd.kr/32179761
게이머를위한 채팅 앱 ' Discord "에 백도어를 거는 악성 코드가 발견됐다고 외신 Bleeping Computer 잡지 가 보도했다.
이것을 발견 한 MalwareHunterTeam에 따르면이 악성 코드가 통신하는 Discord 명령 및 제어 채널을 바탕으로 "Spidey Bot"라고되어 있으며, 대상이되는 것은 Windows 용 Discord 응용된다. 악성 코드가 설치되어 버리면, 악성 JavaScript가 다음 "% AppData % ¥ Discord ¥ [version] ¥ modules ¥ discord_modules ¥ index.js '와'% AppData % ¥ Discord ¥ [version] ¥ modules ¥ discord_desktop_core ¥ index.js '에 추가되어 버린다. 이 JavaScript가 실행되면 Discord의 API 명령과 JavaScript를 사용하여 다음과 같은 정보를 수집하고 Discord의 Webhook을 통해 공격자에게 전송 해 버린다.
- Discord 사용자 토큰
- 시간대
- 화면 해상도
- 로컬 IP 주소
- WebRTC를 통해 공용 IP 주소
- 사용자 이름 / 이메일 주소 / 전화 번호 등
- 줌비
- 결제 정보
- Web 브라우저의 사용자 에이전트
- Discord 버전
- 클립 보드의 선두로부터 50 문자
특히 클립 보드의 내용은 평소 다양한 비밀번호 나 개인 정보 등을 복사하여 사용하거나하면 Discord 이외에도 피해가 확대된다.
정보 전송 후 악성 코드가 fightdio () 함수를 실행하고 백도어 역할을 계속 원격 사이트에서 주문을 수락하게된다. 이렇게하면 컴퓨터의 결제 정보를 도용하거나 또 다른 악성 코드를 포함 할 가능성이있다.
이 악성 코드를 분석 한 Vitali Kremez들이 Bleeping Computer 잡지에 전한 바에 따르면 "Blueface Reward Claimer.exe"및 "Synapse X.exe"라는 파일명으로의 감염이 발견 된 것으로, 확산 경로는 완전 몰라하지만 Discord 메시지 기능을 이용하여 확산되고있는 것 같다는.
또한이 악성 코드에 감염된 경우에도 일반 사용자는 그 징후가 확인하기 어렵지만, Discord 응용 프로그램을 제거하고 다시 설치하여 재 작성된 파일이 제거된다고하고있다.
--------------------------------------------
디스코드 앱은 지우고 웹으로 사용하거나 인게임 보이스로 플레이 하면서 상황을 좀 지켜보는게 좋을 것 같습니다
재설치하면 파일이 제거 된다고 하지만 언제 다시 설치 될지 모르니까요...
댓글 4개 ▼