A Trend Micro identificou uma particularidade nos ciberataques recentes às plataformas de games: as ferramentas de comunicação utilizadas pelos jogadores passaram a ser atacadas maliciosamente.
É o caso do Discord, uma nova plataforma de chat utilizadas pelos gamers que reúne mais de 45 milhões de membros registrados.
Este cenário de ataque envolve o ROBLOX, uma plataforma para múltiplos jogadores, altamente popular com mais de 178 milhões de contas registradas e mais de 12 milhões de usuários ativos mensalmente.
A plataforma também tem um elemento de networking social que incentiva os usuários a socializarem, jogar e criar conteúdo em conjunto, e ter participação nos lucros e nas despesas em ROBUX – a moeda virtual própria do jogo que pode ser trocada por dinheiro de verdade.
Como o Discord aparece no modus operandi dos cibercriminosos no ataque aos jogadores do ROBLOX? Por meio de pesquisa feita pela Trend Micro, foi descoberto que os cibercriminosos estão se aproveitando de um recurso integrado da plataforma de chat – sua interface de programação de aplicativo (API) que permite executar os aplicativos e códigos criados pelo usuário.
Ao fazer isso, os cibercriminosos podem roubar os cookies do navegador contendo as credenciais de login do ROBLOX de um sistema atacado que também usa o Discord.
No momento em que o recurso é maliciosamente adulterado, é permitido ao Discord, utilizar os webhooks. Um webhook é um recurso que permite que o programa de chat envie uma mensagem para um canal ou usuário específico. Assim, o Discord está realmente sendo usado como um canal de exfiltração de informação.
Este método particular de adulteração maliciosa pelos webhooks pode ser desarmado usando as etapas a seguir:
1. O sistema alvejado é infectado com malware detectado pela Trend Micro como TSPY_RAPID. Este malware foi visto originalmente em um fórum de gamers onde o usuário que postou afirmou ser um "cheat app" que ajudaria os jogadores a modificar seus caracteres e assim ganhar uma vantagem desleal em relação aos outros players. Este malware tem um webhook do Discord codificado nele, como mostrado abaixo:
2. O malware espera até detectar o ROBLOX no sistema da vítima. Feito isso, ele rouba o cookie da conta do game do usuário;
3. O malware usa o Discord para enviar o cookie roubado para um canal específico ou usuário também conectado ao Discord;
4. O cookie roubado é então usado para logar na conta do ROBLOX comprometido para roubar o ROBUX armazenado nele, possivelmente para ser trocado por dinheiro de verdade.
A Trend Micro identificou uma variante deste malware, a TSPY_RAPID.D que foi detectada para executar de forma persistente o sistema afetado, tornando possível obter novos cookies da conta do game sempre que o sistema executar o ROBLOX (e assim tornando as mudanças de senha inúteis).
Ele também substitui o ROBLOX executável por uma versão maliciosa, além de exibir uma mensagem falsa informando a vítima que o processo do ROBLOX falhou.
Esta não é a única rotina maliciosa que os cibercriminosos podem obrigar o Discord (ou qualquer plataforma de chat similar) a executar por meio da adulteração da sua API. Na verdade, a análise da Trend Micro mostra que somente com algumas modificações, cibercriminosos criativos podem possivelmente transformá-lo em uma infraestrutura de Comando e Controle (C&C), permitindo que eles se comuniquem com seu malware sem ter que gastar os recursos para uma alternativa desenvolvida em casa.
Na pesquisa desenvolvida pela Trend Micro, "How Cybercriminals Abuse Chat Program APIs as Command-and-Control Infrastructure", os usuários podem saber mais sobre este problema de segurança e aprender como solucioná-lo em casa ou no local de trabalho.
O recurso de API do Discord é a chave para como a plataforma de chat funciona, e "limpá-lo" com a finalidade de proteção elimina sua funcionalidade, assim inutilizando o aplicativo. Isto apresenta um cenário em que o usuário só percebe o problema na segurança depois que o ataque já aconteceu, e o malware já está no sistema usando o Discord como um servidor C&C. Por este motivo, os usuários precisam considerar se vale a pena o risco de continuar usando a plataforma de chat.
Abaixo as recomendações da Trend Micro para usuários do Discord (e para usuários de quaisquer plataformas de chat):
• Mantenha sempre uma solução de segurança instalada e atualizada no sistema para prevenir a infecção por malware, tal como os malwares citados aqui (TSPY_RAPID.A e TSPY_RAPID.D);
• Nunca clique em links suspeitos, mesmo aqueles enviados por alguém da sua lista de amigos;
• Não faça download de arquivos suspeitos, mesmo aqueles enviados por alguém da sua lista de amigos;
• Não revele nenhuma informação pessoal na internet, mesmo quando for solicitado por alguém na sua lista de amigos