Cuidado! Novo malware no Discord mira em donos de criptomoedas e NFTs

Uma nova campanha de malware está tentando roubar criptomoedas e tokens não fungíveis (NFTs) de usuários do canal de mensagens Discord. O mensageiro, conhecido por reunir gamers, passou a servir como chat direto de comunidades centralizadas em Bitcoin, Monero e outras formas de economia digital.

A ação emprega um novo instalador de programa malicioso, intitulado Babadeda,  recentemente utilizado para infectar computadores com Trojans de Acesso Remoto (RATs), ladrões de informação e até mesmo o ransomware LockBit. O programa é especialmente perigoso por sua eficiência na difusão de malwares, já que ele utiliza códigos ofuscadores, que ignoram as defesas da maioria dos antivírus convencionais.

Segundo a firma de cibersegurança MorphiSec, responsável pela descoberta da campanha de malware, o golpe se dissemina através de uma sequência de phishing, direcionada especificamente para participantes do mercado de criptomoedas.

Simulando uma conversa, um bot envia mensagens privadas no Discord com um link para baixar um app que promete novos benefícios — e termina disseminando o programa malicioso.

Malware no Discord engana com URL e certificados falsos

A campanha de malware que mira nas comunidades de NFT e criptomoedas do Discord leva o usuário para programas com layouts praticamente idênticos aos originais. Com as mesmas imagens e mensagens, o endereço entrega um falso certificado SSL, aquele utilizado nos HTTPS, para passar legitimidade.

Os especialistas da MorphiSec destacam que até as URLs são iguais, porém, hospedados em endereços “.net”, enquanto as originais estão em “.com”. Na prática, não há nenhuma diferença reconhecível entre o phishing e o original para um usuário que está acessando o endereço pela primeira vez.

É quando o usuário clica no botão de baixar” que o endereço usa de outra técnica de ofuscação: o redirecionamento é feito para uma página “/downland.php” (ao contrário de “download”). Isso leva o usuário a baixar arquivos de um servidor completamente diferente, que é onde o Babadeda faz seu estrago.

O criptografador pode baixar qualquer coisa que esteja na mão dos cibercriminosos — desde programas infostealers até outros trojans. Por visar vítimas nas comunidades de criptomoedas do Discord, é possível que o malware leve a downloads de outros programas direcionados especificamente para carteiras digitais.

Embora não seja possível determinar com certeza a origem dos ataques, uma parte do código dos sites foi encontrado em cirílico, dando a entender que a origem dos ataques pode estar ligada a atividades cibercriminosas na Rússia.

Imagem: Ink Drop/iStock

Leia mais:

• Atleta italiano é tapeado por 15 anos por golpista da internet se fingindo de modelo brasileira
• Brasil é o 5º país com mais redes de câmeras de vigilância com reconhecimento facial no mundo
• Golpes por QR Code, LGPD e trojans que roubam celulares serão tendência no cibercrime do Brasil em 2022

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!