10/08/2022 às 15h07min - Atualizada em 10/08/2022 às 19h30min
10 de agosto de 2022
Os analistas da Kaspersky descobriram uma nova campanha maliciosa no Brasil apelidada de LofyLife, que utiliza quatro pacotes de código aberto para espalhar os malwares Volt Stealer e Lofy Stealer dentro do Discord – programa focado em comunidades gamer que possibilita a criação de servidores e canais privados dentro da própria plataforma. Os trojans visam roubar tokens do Discord (credenciais de usuário) e informações de cartão de crédito utilizados no aplicativo.
Os pacotes maliciosos estão presentes em um gerenciador do Node Package Manager (NPM) – ferramenta com mais de 11 milhões de usuários que auxilia na instalação e desinstalação de pacotes ou dependências para executar projetos em JavaScript. Os pesquisadores da Kaspersky encontraram quatro pacotes no repositório com trojans que continham scripts maliciosos com a palavra-chave “brazil” – indício que a campanha é direcionada aos usuários brasileiros.
Depois de instalados nas máquinas das vítimas, os repositórios maliciosos se parecem com pacotes de desenvolvimento utilizados para tarefas comuns no Discord como a edição de texto ou determinadas funções para jogos. No entanto, os mesmos contêm códigos complexos adulterados de JavaScript e Python, trojan nomeados de, respectivamente, Lofy Stealer e Volt Stealer.
O Volt Stealer é um malware já conhecido e utilizado para roubo de tokens do Discord nas máquinas infectadas, juntamente com o endereço IP da vítima, que são enviados via HTTP para o cibercriminoso. A novidade da campanha é o Lofy Stealer, novo código malicioso capaz de infectar arquivos de usuários do Discord e monitorar as ações da vítima dentro de sua conta.
Após ser infectado pelo Lofy Stealer, tudo que o usuário realiza em sua conta é rastreado: desde alterações de e-mail ou senha, configurações de segurança como autenticação multifator (MFA), e até mesmo ao adicionar novos métodos de pagamento, como novos cartões de crédito. As informações coletadas também são enviadas para o ponto final remoto controlado pelos criminosos.
A campanha é mais um exemplo de uma ameaça crescente para a comunidade de desenvolvedores, que podem baixar um malware sem perceber enquanto utilizam pacotes de código aberto para programação dentro do Discord.
“Pacotes maliciosos altamente ofuscados usando Javascript e Python são enviados ao repositório NPM para possíveis ataques por conta de typosquatting (digitação incorreta de uma URL no navegador). As informações públicas disponíveis sugerem que os pacotes são direcionados principalmente aos usuários do Discord com foco no Brasil, e sugerimos usar uma solução de segurança completa para proteger alvos em potencial. Adicionamos detecções desse malware aos nossos produtos, para que os usuários que executam nossas soluções possam identificar se foram infectados e possam remover o malware", comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Leia mais detalhes da campanha no Securelist.
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site da empresa.
Kaspersky alerta: ameaça rouba informações de cartão de crédito pelo Discord
Pesquisadores da empresa identificaram quatro pacotes maliciosos com código aberto para roubar informações sensíveis de programadores que estão presentes na plataforma de comunicação Discord
SALA DA NOTÍCIA João Pedro Voltarelli
Os analistas da Kaspersky descobriram uma nova campanha maliciosa no Brasil apelidada de LofyLife, que utiliza quatro pacotes de código aberto para espalhar os malwares Volt Stealer e Lofy Stealer dentro do Discord – programa focado em comunidades gamer que possibilita a criação de servidores e canais privados dentro da própria plataforma. Os trojans visam roubar tokens do Discord (credenciais de usuário) e informações de cartão de crédito utilizados no aplicativo.
Os pacotes maliciosos estão presentes em um gerenciador do Node Package Manager (NPM) – ferramenta com mais de 11 milhões de usuários que auxilia na instalação e desinstalação de pacotes ou dependências para executar projetos em JavaScript. Os pesquisadores da Kaspersky encontraram quatro pacotes no repositório com trojans que continham scripts maliciosos com a palavra-chave “brazil” – indício que a campanha é direcionada aos usuários brasileiros.
Depois de instalados nas máquinas das vítimas, os repositórios maliciosos se parecem com pacotes de desenvolvimento utilizados para tarefas comuns no Discord como a edição de texto ou determinadas funções para jogos. No entanto, os mesmos contêm códigos complexos adulterados de JavaScript e Python, trojan nomeados de, respectivamente, Lofy Stealer e Volt Stealer.
O Volt Stealer é um malware já conhecido e utilizado para roubo de tokens do Discord nas máquinas infectadas, juntamente com o endereço IP da vítima, que são enviados via HTTP para o cibercriminoso. A novidade da campanha é o Lofy Stealer, novo código malicioso capaz de infectar arquivos de usuários do Discord e monitorar as ações da vítima dentro de sua conta.
Após ser infectado pelo Lofy Stealer, tudo que o usuário realiza em sua conta é rastreado: desde alterações de e-mail ou senha, configurações de segurança como autenticação multifator (MFA), e até mesmo ao adicionar novos métodos de pagamento, como novos cartões de crédito. As informações coletadas também são enviadas para o ponto final remoto controlado pelos criminosos.
A campanha é mais um exemplo de uma ameaça crescente para a comunidade de desenvolvedores, que podem baixar um malware sem perceber enquanto utilizam pacotes de código aberto para programação dentro do Discord.
“Pacotes maliciosos altamente ofuscados usando Javascript e Python são enviados ao repositório NPM para possíveis ataques por conta de typosquatting (digitação incorreta de uma URL no navegador). As informações públicas disponíveis sugerem que os pacotes são direcionados principalmente aos usuários do Discord com foco no Brasil, e sugerimos usar uma solução de segurança completa para proteger alvos em potencial. Adicionamos detecções desse malware aos nossos produtos, para que os usuários que executam nossas soluções possam identificar se foram infectados e possam remover o malware", comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Leia mais detalhes da campanha no Securelist.
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site da empresa.
© 2024 Sala da Notícia - Todos os direitos reservados.
Atendimento
Precisa de ajuda? fale conosco pelo Whatsapp
