게임용 채팅 앱인 디스코드에서 백도어를 넣는 악성코드가 발견됐습니다.
디스코드의 명령/제어 채널에서 작동하는 Spidey Bot으로, 윈도우용 디스코드에 악성코드가 설치되면 악성 자바스크립트 코드가 다음 위치에 추가됩니다.
%AppData%/Discord/[version]/modules/discord_modules/index.js
%AppData%/Discord/[version]/modules/discord_desktop_core/index.js
이들 자바스크립트가 실행되면 디스코드의 API 명령과 자바스크립트를 통해 정보를 수집, 디스코드의 웹후크를 통해 공격자에게 전송합니다. 그 내용은 다음과 같습니다.
디스코드 사용자 토큰
시간대
화면 해상도
로컬 IP 주소
WebRTC의 공용 IP 주소
사용자 이름, 이메일 주소, 전화번호
결제 정보
웹 브라우저의 사용자 에이전트
디스코드 버전
클립보드에 저장된 문자의 첫 50개
전송 후에는 악성코드가 fightdio() 함수를 실행해 백도어 역할을 계속 합니다.
이 악성코드는 Blueface Reward Claimer.exe와 Synapse X.exe라는 파일을 통해 감염된 듯 합니다.
디스코드를 제거하고 재설치하면 감염된 파일을 제거할 순 있습니다.
바로 삭제 재설치해야겟습니다