Sophos descobre ampla variedade de malwares no aplicativo Discord

A Sophos, líder global em cibersegurança de próxima geração, publicou em sua nova pesquisa “Discord & alvos para malwares”, o número de URLs hospedando malwares na Rede de Gerenciamento de Conteúdo Discord que, durante o segundo trimestre, apresentou um aumento de 140% em comparação com o mesmo período em 2020, de acordo com a medição da Sophos.

A nova pesquisa se baseia em uma análise detalhada de mais de 1.800 arquivos maliciosos detectados na Discord para mostrar como os cibercriminosos estão aproveitando para usar a plataforma de bate-papo para roubar informações e espalhar outro malware para consumidores e usuários corporativos, incluindo um ransomware antigo adaptado para sabotagem e negação de serviço.

“A Discord fornece uma rede de distribuição global persistente e altamente disponível para operadores de malware, bem como um sistema de mensagens que operadores podem adaptar em canais de comando e controle para seu malware — da mesma forma que os invasores usaram o Internet Relay Chat e o Telegram”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.

“A vasta base de usuários da Discord também oferece um ambiente ideal para roubar informações pessoais e credenciais por meio da engenharia social. Esses golpes não são inofensivos —encontramos um malware que pode roubar imagens privadas da câmera de um dispositivo infectado, bem como ransomware de 2006 que os invasores ressuscitaram para usar como 'mischiefware', que nega às vítimas o acesso aos seus dados, mas não há pedido de resgate e nenhuma chave de descriptografia”, afirma.

A investigação da Sophos sobre conteúdo malicioso vinculado a Discord aponta que:

- O malware costuma estar disfarçado como ferramentas e truques relacionados a jogos. As fraudes mais comuns vistas pelos pesquisadores da Sophos incluem modificações que permitem aos jogadores desabilitar um oponente ou acessar recursos premium gratuitamente — geralmente para um jogo online popular como Minecraft, Fortnite, Roblox e Grand Theft Auto. Os pesquisadores também encontraram uma isca que oferecia aos jogadores a chance de testar um jogo em desenvolvimento.
- Ladrões de informações são a ameaça mais comum, respondendo por mais de 35% dos malwares vistos. Mais de 10% do malware detectado pela Sophos na Discord pertence à família “Bladabindi” de backdoors para roubo de informações. Os pesquisadores da Sophos encontraram vários malwares de sequestro de senha, incluindo “loggers” de tokens de segurança da Discord criados especificamente para roubar contas. Em outra instância, os pesquisadores encontraram uma versão modificada de um instalador do Minecraft que, além de entregar o jogo, instala um “mod” chamado “Saint”. O Saint é, na verdade, um spyware, capaz de capturar toques de teclas e screenshots, bem como imagens diretamente da câmera de um dispositivo infectado.
- Os pesquisadores da Sophos também encontraram ransomwares reaproveitados, backdoors, pacotes de malware Android e muito mais. Os arquivos analisados incluíam vários tipos de ransomware do Windows espalhados por invasores que bloqueiam o acesso aos dados sem exigir resgate ou oferecer às vítimas a chance de obter uma chave de descriptografia. O malware Android compreendia backdoors, droppers e malware financeiro projetados para roubar o acesso a contas bancárias online e criptomoedas. Os pesquisadores da Sophos notaram ainda que um arquivo anunciado como uma "ferramenta multipla para FortNite" carrega um backdoor do Meterpreter e encontrou muitas cópias de um malware ladrão amplamente usado conhecido como Agente Tesla que, uma vez instalado, também oferece acesso remoto ao computador da vítima e a uma plataforma para entregar outro malware.Em um nível técnico, os pesquisadores encontraram alguns malwares usando a Interface de Programação de Aplicativos (APIs) da Discord “bots de bate-papo” para se comunicar secretamente e receber instruções de seu servidor de comando. Eles também descobriram arquivos que afirmam instalar versões crackeadas de software comercial popular, como Adobe Photoshop, e ferramentas que afirmam dar ao usuário acesso aos recursos pagos da Discord Nitro, edição premium do serviço.

“Os usuários da Discord, sejam eles quem forem e para o que quer que usem a plataforma, devem permanecer vigilantes contra a ameaça de conteúdo malicioso que se esconde no serviço e não apenas deixar que a plataforma Discord identifique e remova arquivos suspeitos”, explica Gallagher. “Além disso, as equipes de segurança de TI nunca devem considerar qualquer tráfego de um serviço de nuvem online como inerentemente 'seguro' com base na natureza confiável ou na legitimidade do próprio serviço. Os adversários podem estar escondidos em qualquer lugar”.

Como ficar seguro usando a Discord?

A Sophos recomenda que as organizações que usam a Discord para bate-papo e colaboração no local de trabalho usem a autenticação multifator (MFA) para proteger as contas dos funcionários e garantir que todos tenham a proteção contra malware atualizada em qualquer computador que usam para acessar plataformas de colaboração remota para o trabalho ou projetos relacionados.

O Sophos Intercept X protege os usuários corporativos detectando as ações e comportamentos de malware, enquanto o Sophos Firewall inspeciona o tráfego criptografado do Transport Layer Security (TLS) — agora usado por metade de todos os malwares para comunicações, de acordo com uma pesquisa da Sophos.

A Sophos também aconselha os consumidores a instalarem uma solução de segurança nos dispositivos que eles e suas famílias usam para comunicações e jogos online, como o Sophos Home, para proteger a todos contra malwares e ameaças cibernéticas. Também é uma boa prática de segurança evitar o download e a instalação de softwares não licenciados de qualquer fonte, mesmo que pareça ser de uma fonte conhecida.

Detalhes técnicos para os defensores sobre como os adversários abusam da Discord estão disponíveis em SophosLabs Uncut.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.