Brasileiros são alvo de ataque que tenta roubar credenciais do Discord

Os brasileiros parecem estar entre os principais alvos de uma campanha maliciosa batizada de LofyLife, que tem como foco principal o roubo de credenciais do Discord. Por meio de ferramentas de automação de canais e jogos, publicadas em repositórios de código aberto, os criminosos estão disseminando pelo menos duas variantes de malware, capazes também de furtar dados sensíveis e informações de cartão de crédito.

• Como tornar sua conta do Discord mais segura
• Jovens se reúnem no Discord para distribuir vírus e fazer dinheiro

A operação foi descoberta pelos pesquisadores em segurança da Kaspersky em repositórios npm. Um dos pacotes, voltado à formatação de títulos e textos, está em português brasileiro e traz hashtags referentes ao nosso país, em um indicativo de campanha direcionada em relação à maioria das outras instâncias perigosas encontradas, que estão todas em inglês.

Ainda que não pareça ser uma campanha com amplo esforço por parte dos criminosos, uma vez que recursos e até descrições das ferramentas estão incompletas, elas trazem quatro pacotes maliciosos diferentes com os malwares VoltStealer e Lofy Stealer, desenvolvidos respectivamente em Python e JavaScript, e ofuscados em meio aos códigos correspondentes.

O primeiro é o principal responsável pela campanha de roubo de credenciais do Discord, sendo capaz de capturar também a localização geográfica e outros detalhes das vítimas. Já no segundo caso, a exploração vai ainda mais longe, com não apenas logins e senhas sendo furtados, mas também detalhes de uso e informações de cartão de crédito.

Malware que ataca o Discord pode detectar mudanças nos perfis de usuários

O Lofy Stealer é capaz, entre outras coisas, de detectar alterações nas contas do usuário e arquivos compartilhados pelo Discord, além de acessar a lista de canais dos quais ele faz parte. Um ponto de interesse parece ser a ativação ou não da autenticação em duas etapas e a inserção de dados financeiros, com todos esses dados sendo enviados remotamente a servidores controlados pelos bandidos, que podem aplicar novos golpes.

Ainda que os jogadores sejam o público que primeiro vem à cabeça quando se fala no Discord, a Kaspersky também lembra que o app de comunicação é amplamente utilizado pela comunidade de desenvolvimento de software. O uso de pacotes em repositórios npm pode indicar um foco maior dos criminosos neste segundo público, ainda que detalhes mais específicos sobre a disseminação destes ataques não estejam disponíveis.

Ainda assim, os especialistas recomendam atenção aos desenvolvedores no download de projetos públicos, sempre de olho no reconhecimento dos responsáveis por eles. No caso da pesquisa por pacotes populares, vale a pena ficar de olho na grafia de nomes de usuário e sites, já que os criminosos também costumam apostar em nomenclaturas semelhantes como forma de fazer vítimas pela desatenção.

Fonte: Kaspersky