Vulnerabilidade no Discord permite roubo de criptomoedas com AsyncRAT e Skuld Stealer

Uma sofisticada campanha de ciberataques está utilizando uma vulnerabilidade no sistema de convites do Discord para distribuir malwares perigosos, como o trojan de acesso remoto AsyncRAT e o ladrão de informações Skuld Stealer, com foco no roubo de carteiras de criptomoedas. A operação, identificada pela empresa de cibersegurança Check Point, combina técnicas avançadas de phishing, carregadores multiestágios e métodos de evasão para enganar usuários e comprometer seus sistemas.

De acordo com o relatório técnico da Check Point, hackers estão sequestrando links de convite do Discord ao registrar códigos personalizados que redirecionam usuários de fontes confiáveis para servidores maliciosos. "Os invasores utilizam a tática de phishing ClickFix, combinada com carregadores multiestágios e evasões baseadas em tempo, para implantar furtivamente o AsyncRAT e uma versão personalizada do Skuld Stealer, voltada para carteiras de criptomoedas", informou a empresa. Essa estratégia explora a reutilização de códigos de convite expirados ou excluídos, que, embora bloqueados para servidores legítimos, podem ser revendidos por hackers em links personalizados, redirecionando usuários para armadilhas digitais.

O ataque começa quando usuários desavisados clicam em links de convite aparentemente confiáveis, compartilhados em fóruns, blogs ou redes sociais, e são direcionados a servidores falsos no Discord. Lá, são induzidos a realizar uma "verificação" para acessar o servidor, que envolve autorizar um bot malicioso. Esse processo os leva a um site falso com um botão de "Verificar" que, ao ser clicado, executa um script JavaScript. Este script copia um comando malicioso do PowerShell para a área de transferência do usuário, que, ao ser executado, inicia o download de um script hospedado no Pastebin. Esse script, por sua vez, baixa um carregador de primeiro estágio que instala o AsyncRAT e o Skuld Stealer.

O AsyncRAT, conhecido por suas capacidades de controle remoto, utiliza uma técnica chamada dead drop resolver, acessando seu servidor de comando e controle (C2) por meio de arquivos hospedados no Pastebin, dificultando a detecção. Já o Skuld Stealer, desenvolvido em Golang e baixado do Bitbucket, é projetado para roubar dados sensíveis, incluindo credenciais de navegadores, informações de contas do Discord, senhas de carteiras de criptomoedas (como Exodus e Atomic) e dados de plataformas de jogos. O malware emprega uma técnica de injeção de carteira, substituindo arquivos legítimos por versões maliciosas hospedadas no GitHub, e utiliza uma versão modificada da ferramenta de código aberto ChromeKatz para burlar a criptografia do Chrome.

A campanha se destaca pelo uso de serviços confiáveis, como GitHub, Bitbucket, Pastebin e o próprio Discord, para entrega de malwares e exfiltração de dados, permitindo que os hackers se camuflem no tráfego legítimo. A Check Point também identificou uma campanha paralela do mesmo grupo, que distribui um carregador disfarçado como uma ferramenta de hacking para desbloquear jogos piratas, hospedada no Bitbucket e baixada 350 vezes. As vítimas estão concentradas principalmente nos Estados Unidos, Vietnã, França, Alemanha, Eslováquia, Áustria, Holanda e Reino Unido.

O Discord já desativou o bot malicioso, interrompendo temporariamente a cadeia de ataque. No entanto, a campanha evidencia a sofisticação dos hackers, que exploram recursos sutis da plataforma, como a reutilização de códigos de convite, para enganar usuários. "Essa campanha ilustra como um recurso aparentemente inofensivo do Discord pode ser transformado em um vetor de ataque poderoso", alertaram os pesquisadores da Check Point. "O foco em carteiras de criptomoedas indica que os hackers estão motivados por ganhos financeiros, explorando a crescente popularidade das moedas digitais."

A Check Point recomenda que os usuários do Discord sejam cautelosos ao clicar em links de convite, mesmo aqueles compartilhados em fontes aparentemente confiáveis, e verifiquem a autenticidade dos servidores antes de realizar qualquer ação. A empresa também destaca a importância de manter softwares atualizados e utilizar soluções de segurança robustas para detectar e bloquear ameaças avançadas como essas.

Via - THN