Uma nova e engenhosa campanha de cibersegurança está a visar os utilizadores do Discord, transformando convites expirados ou eliminados em autênticas portas de entrada para malware. Os atacantes exploram uma falha no sistema de convites da popular plataforma para redirecionar as vítimas para sites maliciosos, resultando na instalação de trojans de acesso remoto e software ladrão de informações.
A campanha destaca-se por uma infeção em várias fases, concebida para contornar a deteção por parte de múltiplos motores de antivírus, tornando-a particularmente perigosa.
A "ressurreição" de convites expirados do Discord
Os convites do Discord são a forma mais comum de entrar num novo servidor. No entanto, os cibercriminosos descobriram uma vulnerabilidade na forma como estes links são geridos, especialmente os links personalizados. Os servidores que atingem o "nível 3" de benefícios podem criar um URL de convite personalizado. Se esse servidor perder o seu estatuto, o link personalizado fica disponível e pode ser reivindicado por outro servidor.
Segundo os investigadores da empresa de cibersegurança Check Point, este problema também se aplica a convites temporários que já expiraram e, em certos casos, até a links permanentes que foram eliminados. A falha permite que um atacante registe um novo servidor malicioso usando o código de um convite antigo e popular.
Para agravar a situação, o Discord não altera a data de expiração de um convite temporário quando este é reutilizado como um link permanente, levando a que os utilizadores acreditem que o link é seguro. Existe ainda uma outra vulnerabilidade: como a plataforma armazena e compara os links personalizados em letras minúsculas, um código com letras maiúsculas pode ser reutilizado com letras minúsculas, fazendo com que dois convites aparentemente idênticos levem a dois servidores completamente diferentes.
Como um convite se transforma numa infeção multi-faseada
Os atacantes monitorizam ativamente convites de comunidades legítimas que foram partilhados em redes sociais ou sites, esperando que expirem para os poderem sequestrar. Para dar um ar de autenticidade à fraude, o servidor malicioso é desenhado para imitar o original.
Ao entrar, a vítima encontra apenas um canal chamado #verify, onde um bot solicita que realize um processo de verificação para obter acesso total. Este é o início de um ataque conhecido como 'ClickFix'. Ao tentar verificar-se, o utilizador é redirecionado para um site que imita a interface do Discord, exibindo uma mensagem de que o CAPTCHA falhou ao carregar.
A vítima é então instruída a abrir manualmente a caixa de diálogo "Executar" do Windows (Run) e colar um comando PowerShell que, sem o seu conhecimento, já foi copiado para a sua área de transferência. A execução deste comando desencadeia a infeção, que envolve downloaders em PowerShell, carregadores (loaders) em C++ ofuscados e ficheiros VBScript.
As ferramentas maliciosas que acabam no seu sistema
Os payloads finais são descarregados a partir do serviço legítimo Bitbucket. A investigação da Check Point, que contabilizou cerca de 1.300 vítimas nos EUA, Reino Unido, França, Países Baixos e Alemanha, identificou as seguintes ameaças:
- AsyncRAT: Uma ferramenta de acesso remoto que permite aos atacantes realizar operações com ficheiros, registar o que é teclado (keylogging) e aceder à webcam e ao microfone da vítima.
- Skuld Stealer: Um ladrão de informações focado em roubar credenciais de navegadores, cookies, tokens do Discord e dados de carteiras de criptomoedas.
- ChromeKatz: Uma versão personalizada de uma ferramenta de código aberto capaz de extrair cookies e palavras-passe guardadas.
Para garantir a sua persistência no sistema infetado, o malware cria ainda uma tarefa agendada que volta a executar o carregador a cada cinco minutos.
Como se pode proteger desta nova ameaça
Face a este novo vetor de ataque, os utilizadores devem adotar uma postura de maior cautela. Recomenda-se evitar clicar em links de convite antigos, especialmente os que se encontram em publicações com vários meses. Trate todos os pedidos de "verificação" com desconfiança acrescida e, acima de tudo, nunca execute comandos PowerShell ou outros que não compreenda totalmente.
Para os administradores de servidores Discord, a recomendação é dar preferência à utilização de convites permanentes, que são mais difíceis de sequestrar por estes métodos.
Nenhum comentário
Seja o primeiro!