Discord vira "central do crime": novo vírus usa a plataforma para roubar dados
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Pesquisadores de segurança da eSentire revelaram uma nova técnica de invasão em computadores de vítimas: é o ChaosBot, malware que usa Rust e Discord para criar uma backdoor no sistema e assumir controle remoto da máquina. Segundo os especialistas, foram usadas credenciais comprometidas na Cisco VPN e uma conta com privilégios na Active Directory para a criação e disseminação do vírus.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
A primeira detecção do ChaosBot foi no final de setembro deste ano, afetando clientes do mercado financeiro no Vietnã. Uma das características mais marcantes do malware é o uso do Discord para comando e controle (C2), sendo que até seu nome vem do perfil de um cibercriminoso no aplicativo (chaos_00019). Outro hacker, chamado lovebb0024, também está envolvido na iniciativa.
ChaosBot e seus ataques
Para a distribuição do vírus, os cibercriminosos usam mensagens de phishing com um arquivo de atalho do Windows (LNK) malicioso, executando um PowerShell que baixa o ChaosBot em si. Um PDF fingindo ser uma correspondência legítima do Banco Federal do Vietnã é aberto durante a instalação do programa, distraindo o usuário.
O malware baixado contém um DLL malicioso (msedge_elf.dll) que usa um arquivo binário do navegador Microsoft Edge (identity_helper.exe) para execução.
Um reconhecimento do sistema é feito, abrindo um proxy reverso para continuar agindo no computador. Os hackers também foram vistos tentando usar uma configuração do Visual Studio Code Tunnel para criar backdoors extras, o que, de acordo com os pesquisadores, falhou.
O foco primário, no entanto, é a interação com um canal de Discord criado pelo operador, recebendo o nome do computador da vítima e pegando novas instruções de ação. O malware é capaz de tirar capturas de tela, executar comandos shell, baixar mais agentes maliciosos e enviar arquivos para o canal do Discord em questão.
Há, ainda, uma variante em C++ capaz de encriptar arquivos pequenos para ataques de ransomware, roubar criptomoedas e deletar arquivos grandes demais (acima de 1,3 GB), o que é usado para assustar o usuário e fazê-lo pagar.
Veja também:
- O que significa "Zero Trust" (Confiança Zero)?
- O que é firewall e como ele funciona?
- Criptografia para iniciantes: o que é e por que é importante?
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]
Fonte: eSentire