Ícone do aplicativo Discord na tela de um smartphone. Foto tirada em 15 de abril de 2021 por Ivan Radic. Fonte: FlickrUma nova campanha de malware direcionada a usuários de criptomoedas por meio de links de convite do Discord foi descoberta. De acordo com informações, o novo malware explora uma vulnerabilidade no sistema de convites do Discord para distribuir um ladrão de informações conhecido como Skuld e o trojan de acesso remoto AsyncRAT.
Em um relatório da Check Point, a plataforma mencionou que os atacantes sequestram os links por meio do registro de links personalizados, o que lhes permite redirecionar facilmente os usuários de fontes confiáveis para servidores maliciosos.
"Os atacantes combinaram a técnica de phishing ClickFix, carregadores de múltiplos estágios e evasões baseadas em tempo para distribuir furtivamente o AsyncRAT e um Skuld Stealer personalizado direcionado a carteiras de criptomoedas", disse a Check Point.
Segundo a plataforma, um dos usos do mecanismo de convite do Discord é permitir que atacantes sequestrem links de convite expirados ou excluídos e redirecionem secretamente usuários desavisados para diferentes servidores maliciosos sob seu controle. Isso significa que um link de convite do Discord, que foi compartilhado anteriormente para um propósito legítimo em redes sociais e outros fóruns, pode ser usado para levar usuários a servidores e plataformas maliciosas.
Link de convite do Discord sequestrado para fins maliciosos
Essa novidade surge pouco mais de um mês depois de a empresa de cibersegurança ter revelado outra sofisticada campanha de phishing que sequestrou links personalizados expirados para atrair usuários a entrar em um servidor do Discord, instruindo-os a visitar um site de phishing para verificar a propriedade do link. Os criminosos acabaram usando a plataforma para obter acesso ilegal às carteiras digitais dos usuários e esvaziá-las após conectá-los.
Embora os usuários possam criar links de convite temporários, permanentes ou personalizados no Discord, a plataforma não permite que outros servidores legítimos recuperem um link de convite expirado ou excluído. No entanto, se um usuário criar um link personalizado, poderá reutilizar códigos de convite expirados e até mesmo alguns códigos de convite permanentes excluídos em certos casos.
Essa capacidade de reutilizar códigos expirados ou excluídos na criação de links de convite personalizados permite que criminosos abusem dela, sendo que a maioria os utiliza para seus servidores maliciosos. "Isso cria um risco sério: usuários que clicam em links de convite anteriormente confiáveis (por exemplo, em sites, blogs ou fóruns) podem ser redirecionados sem saber para servidores falsos do Discord criados por agentes maliciosos", afirmou a Check Point.
De acordo com o relatório, o sequestro de links de convite do Discord envolve o uso de um link de convite legítimo compartilhado por comunidades para redirecionar usuários a um servidor malicioso. As vítimas desse golpe são solicitadas a preencher um formulário de verificação, que envolve o fornecimento de diversos dados para obter acesso total ao servidor. Isso é feito autorizando um bot, que as leva a um site falso onde são obrigadas a verificar as informações fornecidas. Depois disso, os golpistas usam táticas de engenharia social para enganar os usuários e infectar seus sistemas.
Agentes maliciosos roubam frases-semente de carteiras digitais com malware
De acordo com o relatório, o malware Skuld é capaz de coletar frases-semente de carteiras de criptomoedas como Exodus e Atomic. Ele realiza essa atividade usando uma abordagem chamada injeção de carteira, substituindo a versão original dos arquivos do aplicativo por versões carregadas com trojans baixados do GitHub. Outra carga útil é um ladrão de informações chamado Goland, que pode ser baixado do Bitbucket. Ele é usado para roubar dados confidenciais do Discord, de diversos navegadores, carteiras de criptomoedas e plataformas de jogos.
A Check Point acrescentou que tambémdentoutra campanha maliciosa sendo realizada pelo mesmo agente de ameaças, na qual o programa foi distribuído como uma versão modificada de uma ferramenta de desbloqueio de dispositivos piratas. Segundo o relatório, o programa foi baixado 350 vezes no Bitbucket. As vítimas dessas campanhas estão localizadas principalmente nos Estados Unidos, França, Eslováquia, Holanda, Áustria, Vietnã e Reino Unido.
Os resultados mostram o exemplo mais recente de como os cibercriminosos têm visado a plataforma. "Esta campanha ilustra como um recurso sutil do sistema de convites do Discord, a capacidade de reutilizar códigos de convite expirados ou excluídos em links de convite personalizados, pode ser explorado como um poderoso vetor de ataque", disseram os pesquisadores. "Ao sequestrar links de convite legítimos, os agentes maliciosos redirecionam silenciosamente usuários desavisados para servidores maliciosos do Discord."
