Kaspersky alerta que ameaça rouba informações de cartão de crédito pelo Discord

Os analistas da Kaspersky descobriram uma nova campanha maliciosa no Brasil apelidada de LofyLife, que utiliza quatro pacotes de código aberto para espalhar os malwares Volt Stealer e Lofy Stealer dentro do Discord – programa focado em comunidades gamer que possibilita a criação de servidores e Canais privados dentro da própria plataforma. Os trojans visam roubar tokens do Discord (credenciais de usuário) e informações de cartão de crédito utilizados no aplicativo.

Os pacotes maliciosos estão presentes em um gerenciador do Node Package Manager (NPM) – ferramenta com mais de 11 milhões de usuários que auxilia na instalação e desinstalação de pacotes ou dependências para executar projetos em JavaScript. Os pesquisadores da Kaspersky encontraram quatro pacotes no repositório com trojans que continham scripts maliciosos com a palavra-chave “brazil” – indício que a campanha é direcionada aos usuários brasileiros.

Descrição de um dos módulos analisados
Depois de instalados nas máquinas das vítimas, os repositórios maliciosos se parecem com pacotes de desenvolvimento utilizados para tarefas comuns no Discord como a edição de texto ou determinadas funções para jogos. No entanto, os mesmos contêm códigos complexos adulterados de JavaScript e Python, trojan nomeados de, respectivamente, Lofy Stealer e Volt Stealer.

O Volt Stealer é um malware já conhecido e utilizado para roubo de tokens do Discord nas máquinas infectadas, juntamente com o endereço IP da vítima, que são enviados via HTTP para o cibercriminoso. A novidade da campanha é o Lofy Stealer, novo código malicioso capaz de infectar arquivos de usuários do Discord e monitorar as ações da vítima dentro de sua conta.

Após ser infectado pelo Lofy Stealer, tudo que o usuário realiza em sua conta é rastreado: desde alterações de e-mail ou senha, configurações de segurança como autenticação multifator (MFA), e até mesmo ao adicionar novos métodos de pagamento, como novos cartões de crédito. As informações coletadas também são enviadas para o ponto final remoto controlado pelos criminosos.

A campanha é mais um exemplo de uma ameaça crescente para a comunidade de desenvolvedores, que podem baixar um malware sem perceber enquanto utilizam pacotes de código aberto para programação dentro do Discord.

“Pacotes maliciosos altamente ofuscados usando Javascript e Python são enviados ao repositório NPM para possíveis ataques por conta de typosquatting (digitação incorreta de uma URL no navegador). As informações públicas disponíveis sugerem que os pacotes são direcionados principalmente aos usuários do Discord com foco no Brasil, e sugerimos usar uma solução de segurança completa para proteger alvos em potencial. Adicionamos detecções desse malware aos nossos produtos, para que os usuários que executam nossas soluções possam identificar se foram infectados e possam remover o malware”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

Leia mais detalhes da campanha no Securelist.