Utilisateurs de Discord, attention au nouveau malware découvert

[ReActif.9251]

Comme il y a beaucoup d'utilisateur de Discord sur GW2Je pense que prévenir ici de ce qui a été découvert peut etre utile.

Rapporté pour la première fois par BleedingComputer, du fait que l’application Discord sur Windows repose principalement sur du CSS, HTML et JavaScript, le malware serait en mesure d’infiltrer et de modifier les lignes de code de base, susceptibles de compromettre la sécurité des données.

Le programme en question s’appellerait “Spidey Bot” ou encore “BlueFace” et a été découvert par la MalwareHunterTeam. Même si l’on ne sait pas avec exactitude depuis quand il opère, il est désormais connu pour récupérer des données, notamment les 50 premiers caractères du presse-papiers Windows, l’adresse IP locale, vos informations sur Discord, etc.

Source : https://www.dexerto.fr/general/comment-savoir-nouveau-malware-discord-est-en-train-voler-vos-donnees-1180341

[ReActif.9251]

Comme il y a beaucoup d'utilisateur de Discord sur GW2Je pense que prévenir ici de ce qui a été découvert peut etre utile.

Rapporté pour la première fois par BleedingComputer, du fait que l’application Discord sur Windows repose principalement sur du CSS, HTML et JavaScript, le malware serait en mesure d’infiltrer et de modifier les lignes de code de base, susceptibles de compromettre la sécurité des données.

Le programme en question s’appellerait “Spidey Bot” ou encore “BlueFace” et a été découvert par la MalwareHunterTeam. Même si l’on ne sait pas avec exactitude depuis quand il opère, il est désormais connu pour récupérer des données, notamment les 50 premiers caractères du presse-papiers Windows, l’adresse IP locale, vos informations sur Discord, etc.

Source : https://www.dexerto.fr/general/comment-savoir-nouveau-malware-discord-est-en-train-voler-vos-donnees-1180341

[Reaqs.9356]

Merci de l'info une idée pour savoir ci on a était infectée ?

[ReActif.9251]

Pour contrôler votre discord et si vous lisez pas le contenu du site en lien.

Vérifiez le contenu des deux fichiers suivants :%AppData%\Discord\[VERSION]\modules\discord_modules\index.js%AppData%\Discord\[VERISON]\modules\discord_desktop_core\index.js

Il ne doit y avoir qu'une seule ligne de code dans chacun d'eux.Si vous avez plus d'une ligne et ca ressemble à ce qui suit, il faut vite fermer Discord, le réinstaller, et le réinstaller !

ATTENTION, a cette procédure que je trouve incomplète je rajouterai qu'avant de réinstaller le Discord du site officiel, aller vérifié que les fichiers que vous venez de contrôle et les dossiers de discord sont aussi effacer et ne sont pas resté.

[D76172EA-0C98-4ACA-B3CF-95]

Avoir un antivirus ça aide aussi. Avast en gratuit et Eset NOD32 en payant, les deux plus utilisés et plus fiables.J'ai vérifié quand même, c'est propre.

[ReActif.9251]

Alors ton antivirus ne pourra rien te prouver.Déjà car la majorité a ce jour ont absolument pas de mise a jour de leur base de donnée pour ce type de malware.Et SURTOUT, car il ne detecte pas les fichiers modifié mais le vecteur c'est a dire le fichier .EXE qui aurait modifié les fichier, sauf que si tu es infecté depuis un moment tu as deja plus le .EXE depuis un bail.

De plus, il y a encore en doute sur le fait que cela ai pu passé par un fichier .EXE il a été trouvé deux vecteur de la sorte mais il est pas impossible que cela passe par autre chose, ile xiste par exemple des bots pour discord qui portent le meme nom que les nom inscrit dans le code du malware, tient tient, et ce sont des bots musicaux, mais rien ne dit que ce soit pas la qu'un mopyen de recupéré des infos, et pas le vecteur premier.

Bon l'antivirus c'est bien, mais seul c'est juste comme rouler sur l'autoroute les yeux fermé et ce dire que si tu entends personne hurler que tu vas mourir ca veux dire que tout va bien... sauf que lorsque tru vas trouver le pilier d'un pont, tu aura pas le temps de reagir a l'alerte que tu aura deja embrassé fortement celui ci. JE pense que l'analogie est assez parlante.

D'ailleurs les antivirus sont incapable de reagir rapidement, exemple les ransomware, la plupart du temps si un ransomware s'active l'antivirus aura pas le temps de quoi que ce soit que tout sera chiffré ! Pour ca que maintenant y a des modules additionnelles anti ransomware, qui ont pour simple action la plus basique des protection mais la seule qui fonctionne, c'est d'interdire de modifier, ou meme de lire des dossiers sensibles. Et demander une autorisation ou une liste blanche.

Bon dans le cas présent, la seule chose a faire, c'est vérifié les deux fichiers énoncés.Car meme si ils sont modifié ils contiennent qu'un code JS obfusqué et c'est pas un virus en soit donc l'antivirus va pas hurler.

Regarde exemple je te met ici deux choses, en premier une partie du code actif du malware... rien ne va hurler ni se produire :https://github.com/k-vitali/Malware-Misc-RE/blob/master/2019-10-10-discord-bot-spidey.vk.notes.raw

Et je te met aussi un petit bout de code, pour vérifié si ton antivirus foinctionne deja, et connaitre ses limites.Normalement certains vont interdire meme d'ouvrir la page web ici presente avec un message mais c'est pas forcement un bon signe.Normalement tu devrais pas avoir de mal a l'enregistrer sur ton pc dans un fichier TXT mais des que ca sera fait tu devrais avoir des alertes et la suppression du fichier.Si c'est pas le cas, ca sera signe que faut pas toujours faire confiance dans son AV.Pire tu remarque que tu as eu le temps de l'enregistrer et ce n'est qu'apres que l'antivirus a agit, pas avant, ca aurait ete un ransomwware tu etais fini, avant meme que l'antivirus reagisse : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

[ReActif.9251]

Bref le message du dessus est pour dire :Vérifiez manuellement vos fichiers et ne pas s'en remettre a un quelconque programme.Verifier les bots qui sont installé sur vos serveurs ou sur les serveurs que vous consulté et si vous y etes abonné, et prudence, il semble au dernière nouvelle que le malware utilisait bien plusieurs Bot de Discord afin de servir de recupérateur de donnée ou meme d'envoi de commande.

[ReActif.9251]

Dernier message de ma part sur le sujet.J'espère juste que meme si le ton est expressement sérieux et dramatique cela permet au moins d'avoir informé assez de monde surtout sur un jeu qui utilise bcp Discord et que si des gens etaient concerné ca les aura aidé.Pour plus d'informations, et recherche sur le sujet regardez les twitter et les sites des équipes de recherche en sécurité qui fouille les codes et trace les origine, c'est interessant.

Je veux finir sur même si certains propos ici sont assez tragique ou peuvent inquiéter, ne paniquez pas.Ne pas rejeter l'outil complet car il est fort a parié que très peu de personne ont réellement été confronté a ce malware, il s'agit ici juste d'une prévention et de tentative de prevenir tout risque.

[SlayerPerfect.8971]

si on utiliser discord via le navigateur internet ( pas l'appli ) il y a rien de spécial ? ( j'ai rien vu d'anormal perso )

[D76172EA-0C98-4ACA-B3CF-95]

J'ai testé et en effet, l'extrait du malware n'est pas détecté. J'ai même fait analyser en ligne sur 56 produits. Même résultat. Donc à mon avis on le détectera le malware si il vient à former un EXE ou un programme exécutable. Ce serait intéressant de pouvoir déchiffrer le code qu'il a introduit dans l'exemple que t'as cité. C'est peut-être la partie déchiffrée qui pourrait être détecté grâce à l'Heuristic de l'Antivirus par exemple.

Sinon je suis pas trop d'accord quant aux Ransomwares, si tu regarde Eset Nod32 Antivirus, il a maintenant des techniques pour les détecter juste avant qu'ils agissent. Il y a des tests sur Youtube.

La plupart des gens qui se font avoir avec ça c'est parce qu'ils n'ont pas un système ou un antivirus à jour.

[Kalythsu.8350]

AVAST bug avec pas mal de chose perso je l'ai désinstallé il me faisais bug l'ordi plus qu'autre chose^^

Sinon j'ai vérifié et tout va bien de mon côté qu'une ligne de code et toute petite^^ pour les 2 fichiers. merci @ReActif.9251

[D76172EA-0C98-4ACA-B3CF-95]

Avast buggait avant mais maintenant il va beaucoup mieux.Si t'as encore eu des problèmes, tu le désinstallesTu exécutes la commande suivante en invite de commandes avec les droits admin"netsh winsock reset"Ensuite tu reboot et tu peux le réinstaller sans problème

Ça va réinitialiser la couche réseau de Windows et Avast ne va plus bugger.Mais cela ne va pas déconfigurer les cartes réseaux, il y a une autre commande pour ça mais ce n'est pas nécessaire, j'ai dépanné beaucoup de PC en faisant comme ça.

[ReActif.9251]

@SlayerPerfect.8971 a dit :si on utiliser discord via le navigateur internet ( pas l'appli ) il y a rien de spécial ? ( j'ai rien vu d'anormal perso )

Non, cela ne concerne que la partie nommé ElectronJS de Discord qui est sur la version PC de l'application uniquement.

[ReActif.9251]

@D76172EA-0C98-4ACA-B3CF-95931E2A99BA a dit :J'ai testé et en effet, l'extrait du malware n'est pas détecté. J'ai même fait analyser en ligne sur 56 produits. Même résultat. Donc à mon avis on le détectera le malware si il vient à former un EXE ou un programme exécutable. Ce serait intéressant de pouvoir déchiffrer le code qu'il a introduit dans l'exemple que t'as cité. C'est peut-être la partie déchiffrée qui pourrait être détecté grâce à l'Heuristic de l'Antivirus par exemple.

Il y a eu un EXE on le sait, par contre la ou a pas trop d'infos enfin j'ai aps ete fouillé les github des chercheurs, c'est savoir si l'EXE une une sorte de primoinfection et qu'après cela puisse se diffuser autrement.

Puis tu sais j'ai deja vu des gens installer eux meme un malware en suivant un tuto qui leur disait de modifier tel ou tel fichier.Suffit (mode tres FB ca) de proposé un mod graphique pour FB qui change la couleur du thème ou rajoute une fonction smiley (codé en JS sur le navigateur directement) ca change pas FB sur les serveurs mais la personne a un theme différent, et avec ces fonctions qui fonctionne (souvent c'est moche, et mal fait) tu ajoute deux trois ligne toute petite obfusqué les gens connaissent rien a JS ils savent pas si le code est bone t ce qu'il fait et hop tu as un malware installé par les gens

[SlayerPerfect.8971]

Ok merci ReActif ^^

[D76172EA-0C98-4ACA-B3CF-95]

Je vois parfaitement où tu veux en venir Reactif, mais ça serait bien de retrouver l'infection de source et faire analyser.Car même pour vérifier les fichiers de config de Discord, j'en ai plein qui n'osent même pas faire même si c'est bien expliquéDans ma Guilde il y a justement des bots qui lisent l'audio, je ne connais pas leur fiabilité.