@anormal @digitalcourage da steht leider nix vom eigentlichen Angriffsvektor. Im Endeffekt steht da aus meiner Sicht "Wenn etwas eure Dateien verändern kann, habt ihr ein Problem" und das ist unabhängig von Discord oder Electron der Fall.

@anormal @digitalcourage die vorgeschlagene Mitigation ist auch Quatsch. Hashen alleine hilft nicht. Ich muss die hashes ja irgendwo speichern. Ein Angreifer kann das dann genau so ändern wie die Dateien selbst. Der Programmcode gehört einfach nicht in %APPDATA% sondern in einen Bereich der nur mit Privilegien. (Admin/UAC...) zu ändern ist: Program Files.

@amenthes @anormal @digitalcourage Nö. Digitale Signaturen reichen völlig aus, und sind bei nicht-Electron-Anwendungen Usus.

@amenthes @digitalcourage "The Windows Discord client is an Electron application, which means that almost all of its functionality is derived from HTML, CSS, and JavaScript. This allows malware to modify its core files so that the client executes malicious behavior on startup."

Beschreibt den Angriffsvektor doch kurz und knapp.

@anormal @digitalcourage das erklärt nicht, wie die veränderte Variante von dem JavaScript auf die Platte des Rechners gekommen ist. Und _das_ wäre der eigentlich interessante Punkt.

@amenthes @anormal @digitalcourage Vermutlich durch falsche Downloads die im Netz angeboten werden.

@amenthes @digitalcourage In folgendem Artikel heiĂźt es:

"It is suspected that the malware is traveling around through Discord chats, modeling itself as cheats for games instead of the malicious software that it really is. Malware researcher Vitali Kremez told Bleeping Computer to look out for files named as “Blueface Reward Claimer.exe” and “Synapse X.exe” as malware. "

digitaltrends.com/news/discord

Ich vermute mal, wie @nifker schon sagte, dass es sich um "falsche Downloads" handelt

@anormal @amenthes @digitalcourage @nifker aber dann ist es doch Unsinn das Discord und Electron vorzuwerfen? Wenn ein user ein wildfremdes Programm absichtlich ausführt, möglicherweise sogar mit Admin-Rechten, dann hat _kein_ Programm eine Chance sich sinnvoll dagegen zu wehren.

@amenthes @anormal @digitalcourage Naja aber Discord macht hier ziemlich leichtes Spiel fĂĽr die Angreifer, da sie den Code schnell ĂĽber JS aufĂĽhren mĂĽssen und sich nicht durch das Assembly der Binaries durcharbeiten mĂĽssen.

@anormal @amenthes @digitalcourage @nifker anders formuliert, diese erste exe könnte genau so gut selbst der Keylogger ... sein. Einziger Unterschied: ein zusätzlicher Prozess würde laufen. Ob das der Zielgruppe auffallen würde wage ich mal zu bezweifeln.

@amenthes @anormal @digitalcourage @nifker du kannst weder unter macOS noch Windows ein beliebiges heruntergelaufenes (d.h. mit quarantine-Flag) nicht signiertes* Programm (.exe) ausführen, ohne dass eine Warnmeldung erscheint. Electron fuhrt jedoch offenbar keine äquivalente Prüfung für ausgeführtes JS durch.

* seit Windows 8: selbst wenn signiert, muss das Programm entweder schon häufig durch andere gestartet worden sein, oder EV-signiert sein

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!