ニュース
Discordにバックドアを仕掛けるマルウェアが発見
2019年10月25日 12:43
ゲーマー向けのチャットアプリ「Discord」にバックドアを仕掛けるマルウェアが発見されたと海外メディアのBleeping Computer誌が報じている。
これを発見したMalwareHunterTeamによれば、このマルウェアが通信したDiscordのコマンドと制御チャネルをもとに「Spidey Bot」と呼ばれており、対象となるのはWindows版のDiscordアプリとなる。マルウェアがインストールされてしまうと、悪意のあるJavaScriptが次の「%AppData%¥Discord¥[version]¥modules¥discord_modules¥index.js」と「%AppData%¥Discord¥[version]¥modules¥discord_desktop_core¥index.js」に追加されてしまう。これらのJavaScriptが実行されると、DiscordのAPIコマンドとJavaScriptの機能を使って以下のような情報を収集し、DiscordのWebhookを介して攻撃者に送信してしまう。
- Discordのユーザートークン
- タイムゾーン
- 画面解像度
- ローカルIPアドレス
- WebRTC経由のパブリックIPアドレス
- ユーザー名/メールアドレス/電話番号など
- ズーム比
- 支払い情報
- Webブラウザのユーザーエージェント
- Discordのバージョン
- クリップボードの先頭から50文字
とくにクリップボードの内容に関しては、普段からさまざまなパスワードや個人情報などをコピーして使っていたりすると、Discord以外にも被害が拡大してしまう。
情報送信後はマルウェアがfightdio()ファンクションを実行し、バックドアとして機能し続け、リモートサイトからの命令を受け付けるようになる。これにより、コンピュータ内の支払い情報を盗んだり、さらに別のマルウェアを埋め込まれてしまう可能性がある。
このマルウェアを解析したVitali KremezらがBleeping Computer誌に伝えたところによれば、「Blueface Reward Claimer.exe」および「Synapse X.exe」というファイル名での感染が見つかったとのことで、拡散経路は完全にはわからないものの、Discordのメッセージ機能を利用して拡散しているようだという。
なお、このマルウェアに感染していても、一般のユーザーにはその兆候が確認しにくいが、Discordアプリをアンインストールして、再びインストールすることで書き換えられたファイルが取り除かれるとしている。