Um novo malware chamado NitroHack foi desenvolvido para o serviço da comunidade de jogos online Discord. Ele é distribuído usando o sistema de mensagens interno do aplicativo e acredita-se que muitos usuários sejam afetados.
Vírus de discórdia chamado de malware NitroHack entregue via DMs
Um grupo de hackers desconhecido está ativamente disseminando um vírus projetado para o Discord chamado Malwares NitroHack. Não há informações disponíveis sobre a identidade dos hackers, no entanto, presume-se que eles tenham experiência para criá-los. Esta é a primeira campanha de ataque que leva essa ameaça em particular, o que indica que, dependendo do sucesso das invasões em andamento, uma segunda onda pode ser planejada.
O vírus Discord é espalhado usando uma campanha em larga escala que inclui os arquivos infectados por vírus e os comercializa como um Discord hack — é anunciado como permitindo aos usuários obter serviços premium gratuitamente. tem diferentes métodos de infecção que pode ser usado para o malware NitroHack:
- Estratégias de phishing — Os arquivos executáveis e todos os dados relacionados a vírus podem ser anunciados usando páginas falsificadas que personificam empresas e serviços conhecidos. Ao interagir com eles, o vírus pode ser baixado ou vinculado.
- payload Carriers — O código do vírus pode ser incorporado em diferentes tipos de arquivos individuais. Isso pode incluir documentos infectados com macro que podem ser de todos os formatos populares e também instaladores de aplicativos. Eles podem ser espalhados usando as estratégias de phishing mencionadas acima ou enviados para redes de compartilhamento de arquivos dos quais BitTorrent é o exemplo mais popular. Como o malware tem como tema Discord, os arquivos da operadora podem ser exibidos como atualizações do Discord, plugins, temas e outros dados relacionados.
- Outra implantação de malware — O malware NitroHack pode ser instalado por outro malware que já infectou o sistema. Exemplos populares são seqüestradores de navegador ou ransomware de arquivos com criptografia.
Os usuários direcionados receberão mensagens de páginas controladas por hackers ou usuários já comprometidos. Eles podem conter arquivos ou links anexados que levam diretamente aos arquivos de vírus ou às páginas de destino.. Em outros casos, os usuários podem ser levados a abrir links de redirecionamento — eles geralmente são hospedados em serviços de URL encurtados para ocultar o endereço do terminal.
O malware do NitroHack inclui funcionalidade sofisticada
Assim que o vírus for implantado em um determinado computador, ele iniciará um padrão de infecção interno. Uma das primeiras ações que fazem parte desta operação inclui o modificação do arquivo executável principal do Discord para incluir um componente Trojan. UMA modificação do sistema seguirá alterando um arquivo localizado na pasta Dados da Aplicação do Discord. Código perigoso será aplicado a ele. Além disso, os arquivos JavaScript usados pelo serviço também são direcionados.
Quando essas mudanças foram implementadas, um infecção persistente será inicializado. Isso significa que o código do malware será iniciado automaticamente quando o computador for ligado. Em alguns casos, também pode modificar as configurações de serviços do sistema e aplicativos instalados pelo usuário e impedir que eles sejam executados. Outras modificações do sistema podem incluir as restrições ao acessar as opções de recuperação. Isso pode tornar muito difícil seguir a maioria dos métodos de remoção manual.
Um dos principais recursos do NitroHack Malware parece estar relacionado à capacidade de seqüestrar informações confidenciais. No caso desta ameaça em particular, isso inclui a capacidade de roubar informações dos navegadores da web, exemplos são Chrome, Discórdia, Ópera, Bravo, Yandex Navegador, Vivaldi, e crómio. As informações serão digitalizadas para qualquer Tokens de discórdia que pode ser armazenado neles. Quando informações confidenciais forem detectadas, elas serão postadas automaticamente em um canal Discord operado por hackers.
Outra função perigosa encontrada nas versões atuais do malware é a função roubo de dados financeiros. Isso é feito listando as informações do cartão de pagamento e tentando criar um sobreposição de site que abrirá uma forma de pagamento que enganará os usuários a inserir dados confidenciais.
No final, o vírus irá roubar a lista de amigos das vítimas da discórdia e enviar mensagens contendo o vírus, mais uma vez fingindo ser um hacker do Discord. Usando essa propagação do tipo worm, o malware NitroHack conseguiu reunir rapidamente um grupo de computadores infectados em larga escala.
Os usuários de computador que acreditam estar infectados pelo vírus podem verifique as instalações do Discord abrindo o arquivo %% AppData \ Discord 0.0.306 modules discord_voice index.js e verifique se há modificações. Uma versão não modificada do arquivo terminará com a seguinte linha:
module.exports = VoiceEngine;