Campanha de Malware Sequestra Antigos Links do Discord Para Hackear Usuários de Criptomoedas

Hackers estão sequestrando links de convite expirados do Discord para enganar usuários com infecções de malware que roubam carteiras de criptomoedas e burlam ferramentas de segurança do navegador.

De acordo com a equipe de pesquisa da CheckPoint, cibercriminosos estão utilizando links de convite expirados do Discord para direcionar usuários a servidores mal-intencionados que resultam em infecções avançadas por malware.

Os atacantes sequestram links de convite antigos, que pertenciam a comunidades confiáveis, para enviar usuários para servidores Discord falsos. Os servidores Discord falsos enganam seus usuários fazendo-os baixar malware perigoso, incluindo o AsyncRAT e o Skuld Stealer, malware que tem como alvo as carteiras de criptomoedas.

Os atacantes exploram como o Discord gera links de convite, utilizando tanto as capacidades de link temporário quanto permanente. Os atacantes ganham acesso a links abandonados ao reivindicá-los para configurar servidores Discord prejudiciais.

Dessa forma, usuários que clicam no que parecem ser convites válidos de mídias sociais ou postagens desatualizadas são automaticamente direcionados para servidores maliciosos controlados por hackers.

Dentro desses servidores falsos, os usuários encontram um bot chamado “Safeguard” que apresenta um processo de verificação falso. Depois que os usuários iniciam o processo de verificação, eles acessam um site de phishing, que executa um perigoso comando PowerShell.

O comando recupera software mal-intencionado do GitHub, bem como das plataformas Bitbucket e Pastebin, a fim de fazer a operação se misturar com o tráfego web padrão.

O malware executa várias etapas para evitar sistemas de detecção. Um link do GitHub serve como o primeiro alvo de download para um script PowerShell. O carregador recupera o malware criptografado do Bitbucket antes de descriptografá-lo para instalação no sistema de computador do usuário.

As últimas cargas úteis – AsyncRAT e Skuld Stealer – permitem aos atacantes controlar sistemas remotamente e roubar informações importantes, incluindo credenciais de usuário, juntamente com detalhes de carteira cripto de aplicativos Exodus e Atomic. O malware implementa atrasos temporizados, de até 15 minutos, para evadir sistemas de segurança automatizados.

Além disso, os cibercriminosos descobriram um método para contornar a proteção fornecida pela Criptografia de Aplicativos do Google Chrome para cookies. Os atacantes modificaram o ChromeKatz para permitir a extração direta de cookies de login do Chrome, Edge e Brave browser memory.

Os ataques têm como alvo usuários em todo os Estados Unidos, além do Vietnã, França e Alemanha, bem como outras nações. Os atacantes parecem mirar usuários de criptomoedas porque o malware deles visa especificamente as credenciais da carteira e as frases de recuperação.

Os pesquisadores acreditam que os cibercriminosos desenvolverão novos métodos, apesar do Discord ter desativado o bot específico usado nesta campanha. Os usuários devem se proteger desses ataques evitando convites desatualizados do Discord, enquanto são cautelosos com solicitações de verificação e mantêm o software antivírus atualizado.