Cibercriminosos continuam abusando ferramentas como Discord para hospedar, compartilhar e organizar campanhas de malwares. Pesquisadores da Sophos concluíram que o número de URLs maliciosas (malwares hospedados em domínios) cresceu quase 140 vezes nos últimos dois meses, em comparação com o mesmo período de 2020. O Discord hospeda 4% de todos os downloads de malware protegidos por Transport Layer Security (TLS), detectados pelas soluções de monitoramento de segurança da Sophos.
- Ransomware Babuk sofre ataque de ransomware, não paga e tem fórum inundado com GIFs de orgias gays
- Ransomware Mespinoza já vazou dados de pelo menos 7 grandes empresas brasileiras
- Espanha prende 16 suspeitos de utilizarem trojans bancários brasileiros para furtar mais de R$ 1,6 milhão
Uma investigação da Sophos sobre o uso e compartilhamento de malwares via TLS identificou que mais da metade do tráfego de rede gerado por malwares utiliza criptografia TLS e 20% dessa metade adotou ferramentas como Discord como um dos principais canais para infectar novas vítimas.
“O Discord fornece uma rede de distribuição global persistente e altamente disponível para operadores de malware, bem como um sistema de mensagens que esses operadores podem adaptar em canais de comando e controle para seu malware — da mesma forma que os invasores usaram o Internet Relay Chat e Telegram. A vasta base de usuários do Discord também oferece um ambiente ideal para roubar informações pessoais e credenciais por meio da engenharia social”, explica Sean Gallagher, um dos pesquisadores da Sophos, responsáveis pelo estudo.
As campanhas cibercriminosos disfarçam sua comunicação como se fossem comunidades de games, geralmente os mais populares como Minecraft, Fortnite, Roblox e Grand Theft Auto (GTA), oferecendo downloads, mods e pacotes de expansão infectados com malware. Um exemplo é um instalador pirata de Minecraft que inclui um mod chamado "Saint". Saint, no entanto, é um spyware keylogger, que coleta todas as teclas pressionadas, além de enviar capturas de tela da vítima de tempos em tempos para os atacantes.
Pouco mais de 10% dos malwares analisados no Discord pertencem à família Bladabindi, backdoors com foco em furto de dados. Mas malwares desenvolvidos para furto de senhas, tokens de segurança e dados relacionados a credenciais também são facilmente encontrados. Os pesquisadores encontraram inclusive malwares focados em furto de credenciais do próprio Discord. Também foram encontrados malwares para Android e vários tipos de ransomware.
Problema antigo
O uso de ferramentas consideradas seguras (como Slack e Discord) por cibercriminosos está em constante crescimento desde o começo da pandemia do novo coronavírus (SARS-CoV2).
Gallagher acredita que esses abusos tenham aumentado pelo fato de que cada vez mais empresas estão utilizando o Discord para comunicação sigilosa de assuntos relacionados ao trabalho, compartilhando arquivos com dados internos, que podem ser bastante interessantes para os cibercriminosos.
O pesquisador recomenda que qualquer usuário tenha atenção e só se envolva em comunidades confiáveis. Embora a plataforma remova alguns links maliciosos automaticamente, "os adversários podem estar escondidos em qualquer lugar".
Fonte: Sophos.