I webhook di Discord sono terreno fertile per un generatore di malware

Un team di ricerca di sicurezza informatica ha scoperto che lo scorso 23 aprile, un utente Discord, chiamato Portu, ha iniziato a pubblicizzare un nuovo generatore di malware concepito per il furto di password.

I generatori di malware sono dei programmi in cui i cosiddetti hacker alle prime armi possono creare i propri eseguibili. Nel dettaglio, lo script kiddie è un linguaggio di sicurezza informatica che utilizza un codice preesistente che permette di modificarlo leggermente a proprio vantaggio, anche a scopi illegali.

Gli esperti di sicurezza di Uptycs hanno scoperto che il malware è stato utilizzato per prendere di mira gli utenti Discord: considerato quanto è diffusa questa piattaforma, è un ulteriore motivo per dotarsi di una buona protezione antivirus.

KurayStealer, come funziona il malware che si nascondeva su Discord

KurayStealer è stato rilevato circa quattro giorni dopo che Portu ha iniziato a pubblicizzare il nuovo generatore di malware. Quando viene eseguito per la prima volta, il programma esegue un controllo per determinare se l’utente sta utilizzando una versione gratuita o a pagamento.

Successivamente, tenta di sostituire la stringa “api/webhooks” con “Kisses” in BetterDiscord, una versione estesa della nota applicazione che include maggiori funzionalità dedicate agli sviluppatori. Se questa azione riesce, l’attaccante può modificare l’app per configurare il webhook a proprio piacimento.

Per chi non lo sapesse, i webhook rappresentano un meccanismo mediante il quale le pagine web e le applicazioni possono scambiarsi dati in tempo reale tramite HTTP. Con un funzionamento simile a quello delle API, differiscono per il fatto che i webhook inviano informazioni in modo automatico, senza che il destinatario debba in qualche modo richiederle.

Con i webhook attivi, il programma riesce a “fotografare” la macchina di destinazione e parte alla ricerca delle credenziali: password, token, indirizzi IP e quant’altro non solo da Discord, ma anche da Edge, Chrome e altre 18 applicazioni. Qualsiasi dato analizzato in questo processo viene reinviato all’attaccante tramite i webhook.

“La nostra ricerca su KurayStealer supportata da OSINT evidenzia l’aumento della prevalenza di ladri di password che sfruttano i token Discord come C2 per raccogliere le credenziali delle vittime. Le aziende devono disporre di controlli di sicurezza rigorosi e di soluzioni di sicurezza e visibilità a più livelli per identificare e rivelare tali attacchi“

Scrive in una nota il team di ricerca.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Annulla

Stai citando questo messaggio:

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicata. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy.
Pubblicando questo commento dai il consenso affinché un cookie salvi i tuoi dati (nome, email, sito web) per il prossimo commento.

Iscrivimi alla newsletter gratuita di Punto Informatico Tutte le mattine direttamente nella tua casella email tutte le novità del mondo digitale e tech