Un nuovo malware chiamato NitroHack è stato sviluppato per il servizio di community di giochi online Discord. È distribuito utilizzando il sistema di messaggistica interno dell'applicazione e si ritiene che molti utenti siano interessati.
Discord Virus ha chiamato il malware NitroHack fornito tramite DM
Un gruppo di hacking sconosciuto sta diffondendo attivamente un virus progettato per Discord chiamato Malware NitroHack. Non ci sono informazioni disponibili sull'identità degli hacker, tuttavia si presume che siano stati sperimentati per averlo creato. Questa è la prima campagna di attacco che porta questa particolare minaccia che indica che a seconda del successo delle intrusioni in corso potrebbe essere pianificata una seconda ondata.
Il virus Discord viene diffuso utilizzando una campagna su larga scala che include i file infetti da virus e li commercializza come Discord hack — è pubblicizzato per consentire agli utenti di usufruire gratuitamente di servizi premium. Ci sono diversi metodi di infezione che può essere utilizzato per il malware NitroHack:
- Strategie di phishing — I file eseguibili e tutti i dati relativi ai virus possono essere pubblicizzati utilizzando pagine contraffatte che impersonano società e servizi noti. Interagendo con loro il virus può essere scaricato o collegato.
- I vettori payload — Il codice virus può essere incorporato in diversi tipi di singoli file. Questo può includere documenti macro-infettati che può essere di tutti i formati più diffusi e anche installazione di applicazioni. Possono essere diffusi utilizzando le strategie di phishing sopra menzionate o caricati su reti di condivisione file di cui BitTorrent è l'esempio più popolare. Poiché il malware è progettato per Discord, i file del gestore telefonico possono essere visualizzati come aggiornamenti di Discord, plugins, temi e altri dati correlati.
- Altro malware Deployment — Il malware NitroHack può essere installato da altri malware che hanno precedentemente infettato il sistema. Esempi popolari sono browser hijacker o Encrypting File ransomware.
Gli utenti target riceveranno messaggi da pagine controllate dagli hacker o utenti già compromessi. Possono contenere file o collegamenti allegati che conducono direttamente ai file dei virus o alle pagine di destinazione. In altri casi è possibile indurre gli utenti ad aprire i collegamenti di reindirizzamento — di solito sono ospitati su servizi URL abbreviati per nascondere l'indirizzo dell'endpoint.
Il malware NitroHack include funzionalità sofisticate
Non appena il virus viene impiantato su un determinato computer, inizierà un modello di infezione incorporato. Una delle prime azioni che fanno parte di questa operazione include il modifica del file eseguibile principale di Discord per includere a componente Trojan. La modifica del sistema seguirà cambiando un file che si trova nella cartella Dati applicazioni di Discord. Verrà applicato un codice pericoloso. Inoltre, vengono scelti come target anche i file JavaScript utilizzati dal servizio.
Quando queste modifiche sono state implementate a infezione persistente sarà inizializzato. Ciò significa che il codice malware verrà avviato automaticamente all'accensione del computer. In alcuni casi può anche modificare le impostazioni dei servizi di sistema e delle applicazioni installate dall'utente e impedirne l'esecuzione. Altre modifiche al sistema possono includere le restrizioni quando si accede alle opzioni di ripristino. Ciò può rendere molto difficile seguire la maggior parte dei metodi di rimozione manuale.
Una delle funzionalità chiave del malware NitroHack sembra essere correlata alla capacità di farlo dirottare informazioni sensibili. Nel caso di questa particolare minaccia ciò include la possibilità di rubare informazioni dai browser web, esempi sono Chrome, Discordia, Opera, Coraggioso, Yandex Browser, Vivaldi, e cromo. Le informazioni saranno scansionate per qualsiasi Token discordia che potrebbe essere memorizzato in essi. Quando vengono rilevate informazioni sensibili, queste verranno automaticamente inviate a canale Discord gestito da hacker.
Un'altra funzione pericolosa che è stata trovata nelle attuali versioni del malware è la furto di dati finanziari. Questo viene fatto elencando le informazioni della carta di pagamento e tentando di creare un overlay del sito Web che aprirà un modulo di pagamento che ingannerà gli utenti nell'inserimento di dati sensibili.
Alla fine il virus lo farà dirottare la lista degli amici delle vittime di Discord e inviare messaggi contenenti il virus, ancora una volta fingendo di essere un hack Discord. Utilizzando questa propagazione simile a un worm, il malware NitroHack è stato in grado di accumulare rapidamente un gruppo di computer infetti su larga scala.
Gli utenti di computer che ritengono di essere infetti dal virus possono controlla le loro installazioni Discord aprendo il file %AppData% \ Discordia 0.0.306 moduli discord_voice index.js e controlla se ci sono modifiche. Una versione non modificata del file terminerà con la seguente riga:
module.exports = VoiceEngine;