A Sophos publicou em sua nova pesquisa “Discord & alvos para malwares”, o número de URLs hospedando malwares na Rede de Gerenciamento de Conteúdo Discord que, durante o segundo trimestre, apresentou um aumento de 140% em comparação com o mesmo período em 2020, de acordo com a medição da Sophos.
A nova pesquisa se baseia em uma análise detalhada de mais de 1.800 arquivos maliciosos detectados na Discord para mostrar como os cibercriminosos estão aproveitando para usar a plataforma de bate-papo para roubar informações e espalhar outro malware para consumidores e usuários corporativos, incluindo um ransomware antigo adaptado para sabotagem e negação de serviço.
“A Discord fornece uma rede de distribuição global persistente e altamente disponível para operadores de malware, bem como um sistema de mensagens que operadores podem adaptar em canais de comando e controle para seu malware — da mesma forma que os invasores usaram o Internet Relay Chat e o Telegram”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.
“A vasta base de usuários da Discord também oferece um ambiente ideal para roubar informações pessoais e credenciais por meio da engenharia social. Esses golpes não são inofensivos —encontramos um malware que pode roubar imagens privadas da câmera de um dispositivo infectado, bem como ransomware de 2006 que os invasores ressuscitaram para usar como ‘mischiefware’, que nega às vítimas o acesso aos seus dados, mas não há pedido de resgate e nenhuma chave de descriptografia”, afirma.
A investigação da Sophos sobre conteúdo malicioso vinculado a Discord aponta que:
1) O malware costuma estar disfarçado como ferramentas e truques relacionados a jogos. As fraudes mais comuns vistas pelos pesquisadores da Sophos incluem modificações que permitem aos jogadores desabilitar um oponente ou acessar recursos premium gratuitamente — geralmente para um jogo online popular como Minecraft, Fortnite, Roblox e Grand Theft Auto. Os pesquisadores também encontraram uma isca que oferecia aos jogadores a chance de testar um jogo em desenvolvimento.
2) Ladrões de informações são a ameaça mais comum, respondendo por mais de 35% dos malwares vistos. Mais de 10% do malware detectado pela Sophos na Discord pertence à família “Bladabindi” de backdoors para roubo de informações. Os pesquisadores da Sophos encontraram vários malwares de sequestro de senha, incluindo “loggers” de tokens de segurança da Discord criados especificamente para roubar contas. Em outra instância, os pesquisadores encontraram uma versão modificada de um instalador do Minecraft que, além de entregar o jogo, instala um “mod” chamado “Saint”. O Saint é, na verdade, um spyware, capaz de capturar toques de teclas e screenshots, bem como imagens diretamente da câmera de um dispositivo infectado.
3) Os pesquisadores da Sophos também encontraram ransomwares reaproveitados, backdoors, pacotes de malware Android e muito mais. Os arquivos analisados incluíam vários tipos de ransomware do Windows espalhados por invasores que bloqueiam o acesso aos dados sem exigir resgate ou oferecer às vítimas a chance de obter uma chave de descriptografia. O malware Android compreendia backdoors, droppers e malware financeiro projetados para roubar o acesso a contas bancárias online e criptomoedas. Os pesquisadores da Sophos notaram ainda que um arquivo anunciado como uma “ferramenta multipla para FortNite” carrega um backdoor do Meterpreter e encontrou muitas cópias de um malware ladrão amplamente usado conhecido como Agente Tesla que, uma vez instalado, também oferece acesso remoto ao computador da vítima e a uma plataforma para entregar outro malware.
Em um nível técnico, os pesquisadores encontraram alguns malwares usando a Interface de Programação de Aplicativos (APIs) da Discord “bots de bate-papo” para se comunicar secretamente e receber instruções de seu servidor de comando. Eles também descobriram arquivos que afirmam instalar versões crackeadas de software comercial popular, como Adobe Photoshop, e ferramentas que afirmam dar ao usuário acesso aos recursos pagos da Discord Nitro, edição premium do serviço.
“Os usuários da Discord, sejam eles quem forem e para o que quer que usem a plataforma, devem permanecer vigilantes contra a ameaça de conteúdo malicioso que se esconde no serviço e não apenas deixar que a plataforma Discord identifique e remova arquivos suspeitos”, explica Gallagher. “Além disso, as equipes de segurança de TI nunca devem considerar qualquer tráfego de um serviço de nuvem online como inerentemente ‘seguro’ com base na natureza confiável ou na legitimidade do próprio serviço. Os adversários podem estar escondidos em qualquer lugar”.