El investigador de ciberseguridad de Trellix, Gurumoorthi Ramanathan, detalla el malware y las técnicas de extracción de datos que utilizan los piratas informáticos para atacar Discord, la aplicación más usada por los gamers para comunicarse.
Según el informe, los actores de la amenaza construyeron un sofisticado infostealer llamado NS-STEALER. Lo distribuyen a través de archivos ZIP que se hacen pasar por software crackeado (un Windows 11 pirata o un Photoshop sin licencia).
Cuando una víctima extrae el archivo comprimido, encontrará un acceso directo de Windows titulado “Loader GAYve” que, si se ejecuta, desplegará un programa Java malicioso.
Este programa hará dos cosas: primero creará una carpeta llamada “NS-<11-digit_random_number>”, en la que almacenará toda la información recopilada. A continuación, comenzará a capturar los datos.
Buscando datos sensibles para sacar dinero
NS-STEALER buscará información almacenada en más de dos docenas de navegadores: cookies, credenciales y datos de autorrelleno. A continuación, comenzará a realizar capturas de pantalla del dispositivo infectado, recopilando información del sistema y la lista de programas instalados en el dispositivo.
Luego extraerá tokens de Discord, así como datos de sesión de Steam y Telegram. Por último, filtrará todo lo anterior a un canal de Discord Bot. Ahí es donde acaba toda la información para rentailizar el hackeo.
“Teniendo en cuenta la función altamente sofisticada de recopilación de información sensible y el uso de X509Certificate para apoyar la autenticación, este malware puede robar rápidamente información de los sistemas de la víctima con [Java Runtime Environment]”, explica Ramanathan.
Esta no es la primera vez que los hackers encuentran una manera de abusar de Discord para sus nefastos propósitos. De hecho, Discord ha sido objeto de hackeos desde hace años.
Lleva cuidado y no descargues nada sospechoso a través de Discord ni de páginas no fiables.