Malware rouba suas informações pessoais pelo Discord


Um novo malware está atacando os usuários do Discord, modificando seus arquivos para que se transformem em um backdoor e atuem como um Trojan que rouba informações. Ele tem como alvo o cliente Windows Discord, que é um aplicativo Electron. Isso é toda a sua funcionalidade é derivada de CSS, HTML e JavaScript. Depois disso, modifica os arquivos principais para executar seu processo malicioso.

Discord como um serviço de hospedagem e distribuição de malware

Embora o Discord seja projetado como um serviço de bate-papo, ele permite que os membros enviem arquivos para um canal de bate-papo para que outros possam baixá-los. 
Os usuários podem clicar com o botão direito do mouse em um arquivo carregado e selecionar a opção "Copiar link" para obter um URL que pode ser compartilhado com outras pessoas, mesmo usuários que não sejam do Discord, para fazer o download do arquivo.




Copiar link do arquivo carregado
Copiar link do arquivo carregado
Por exemplo, na imagem acima, carreguei a Calculadora do Windows (calc.exe) e copiei seu link público em  https://cdn.discordapp.com/attachments/636608706401927172/639502346656677914/cal.exe Como você pode ver, esse arquivo está hospedado na CDN do Discord, mas pode ser compartilhado com qualquer pessoa.
O mais interessante é que o remetente pode excluir esse arquivo no Discord, mas a URL ainda pode ser usada para fazer o download do arquivo. Isso significa que, embora o arquivo seja excluído no bate-papo, na verdade não é excluído da CDN do Discord.
Esse recurso está sendo usado pelos desenvolvedores de malware como uma maneira fácil e anônima de distribuir infecções. Em uma breve olhada no VirusTotal, malwares como o NanoCore RAT , bloqueadores de tela ,  keyloggers e  ladrões de cookies Roblox , para citar apenas alguns, estão sendo distribuídos dessa maneira.
Embora o Discord às vezes exiba avisos nas páginas de download quando arquivos maliciosos são relatados, em nossos testes a maioria dos downloads maliciosos não é sinalizada.
A boa notícia é que o Discord realiza algum tipo de verificação ou bloqueio de arquivos maliciosos, como quando tentei fazer upload de uma amostra do DarkComet RAT encontrado pelo JayTHL com 65 detecções no VirusTotal, o Discord não permitiria o upload do arquivo.




Upload bloqueado
Discord bloqueando um upload
Com isso dito, esse arquivo já está presente no Discord até hoje. Isso significa que eles não examinam arquivos carregados anteriormente em sua CDN para aproveitar as definições de vírus atualizadas ou malware conhecido.

Webhooks do Discord sendo usados ​​como quedas de dados roubados

O Discord contém um recurso chamado webhooks que permite que sites ou aplicativos externos enviem mensagens para um canal do Discord. 
Ao criar webhooks, o proprietário do servidor receberá um URL especial usado com a API Discord para enviar mensagens para o canal especificado.




Criando um webhook
Criando um webhook
Como todos os recursos úteis, os desenvolvedores de malware, como ransomware, Trojans que roubam informações, RATs e outros, podem abusar de webhooks para enviar informações ao invasor quando um usuário está infectado.
Por exemplo, esse ladrão de informações  tentará roubar as credenciais de login salvas da vítima do Chrome, Firefox e Opera e o token de usuário Discord da vítima.




Roubar logins salvos e tokens de discórdia
Roubar logins salvos e tokens de discord
Em seguida, envia essas informações compiladas ao invasor usando esses webhooks do Discord.




Webhooks de comando e controle
Webhooks de comando e controle

As informações coletadas e enviadas ao atacante incluem:
  • Discordar token do usuário
  • Fuso horário da vítima
  • Resolução da tela
  • Endereço IP local da vítima
  • Endereço IP público da vítima via WebRTC
  • Informações do usuário, como nome de usuário, endereço de email, número de telefone e muito mais
  • Se eles armazenaram informações de pagamento
  • Fator de zoom
  • Agente do usuário do navegador
  • Versão do Discord
  • Os primeiros 50 caracteres da área de transferência do Windows vítimas
O conteúdo da área de transferência é especialmente preocupante, pois pode permitir que o usuário roube senhas, informações pessoais ou outros dados confidenciais que foram copiados pelo usuário.

Esse recurso também é comumente usado por malware que rouba tokens de Discord da vítima, que podem ser usados ​​pelo invasor para fazer login como esse usuário específico do Discord.
O MalwareHunterTeam também encontrou um exemplo de pacote NPM que usava webhooks para roubar tokens de usuário do Discord.
MHT Tweet

Os arquivos do cliente Discord podem ser facilmente modificados

Como o cliente Discord torna seus arquivos JavaScript modificáveis ​​pelo usuário, qualquer malware executado como o usuário também pode modificar esses arquivos.




Permissões de arquivo para arquivos JavaScript Discord
Permissões de arquivo para arquivos JavaScript Discord
Ao modificar os arquivos, o invasor adiciona seu próprio código JavaScript aos arquivos do cliente Discord, para que seja executado quando o cliente for iniciado ou quando URLs específicos forem abertos pelo cliente.




Arquivos de discórdia modificados
Arquivos de discord modificados
Foi exatamente o que aconteceu em um malware recente que modificou os arquivos Discord JS, a fim de roubar tokens do Discord e outras informações sobre a vítima e enviá-lo ao atacante por meio de um webhook.


Como verificar se você está infectado

Verificar se o seu cliente Discord foi modificado é muito fácil, pois os arquivos de destino normalmente possuem apenas uma linha de código.
Para verificar o  %AppData% \Discord\[versão]\modules\ discord_modules\index.js, basta abri-lo no Bloco de Notas e deve conter apenas a linha única de "module.exports = require ('./ discord_modules.node'); " como mostrado abaixo.




Arquivo discord_modules \ index.js normal
Arquivo discord_modules \ index.js normal
Para o  arquivo %AppData%\Discord\[versão]\modules\ discord_desktop_core\index.js , ele deve conter apenas o "module.exports = require ('./ core.asar');" como mostrado abaixo.




Arquivo normal discord_desktop_core \ index.js
Arquivo normal discord_desktop_core \ index.js
Se um dos dois arquivos contiver outro código além do mostrado acima, desinstale e reinstale o cliente Discord e confirme se as modificações foram removidas.
É importante lembrar, no entanto, que outro malware pode modificar com facilidade outros arquivos JavaScript usados ​​pelo cliente Discord, portanto, essas instruções são apenas para esse malware específico.
Mesmo que o malware seja removido, o JavaScript malicioso permanecerá no cliente Discord e provavelmente não será detectado pelo software antivírus. A única maneira de limpar o cliente seria desinstalar e reinstalar o software.
Embora o Discord tenha declarado que eles aumentarão a segurança no futuro, ele não forneceu um plano de como eles o farão.
Tweet da discórdia


Fonte: https://www.bleepingcomputer.com/news/security/discord-abused-to-spread-malware-and-harvest-stolen-data/


Postar um comentário

0 Comentários