Un team di ricerca di sicurezza informatica ha scoperto che lo scorso 23 aprile, un utente Discord, chiamato Portu, ha iniziato a pubblicizzare un nuovo generatore di malware concepito per il furto di password.
I generatori di malware sono dei programmi in cui i cosiddetti hacker alle prime armi possono creare i propri eseguibili. Nel dettaglio, lo script kiddie è un linguaggio di sicurezza informatica che utilizza un codice preesistente che permette di modificarlo leggermente a proprio vantaggio, anche a scopi illegali.
Gli esperti di sicurezza di Uptycs hanno scoperto che il malware è stato utilizzato per prendere di mira gli utenti Discord: considerato quanto è diffusa questa piattaforma, è un ulteriore motivo per dotarsi di una buona protezione antivirus.
KurayStealer, come funziona il malware che si nascondeva su Discord
KurayStealer è stato rilevato circa quattro giorni dopo che Portu ha iniziato a pubblicizzare il nuovo generatore di malware. Quando viene eseguito per la prima volta, il programma esegue un controllo per determinare se l’utente sta utilizzando una versione gratuita o a pagamento.
Successivamente, tenta di sostituire la stringa “api/webhooks” con “Kisses” in BetterDiscord, una versione estesa della nota applicazione che include maggiori funzionalità dedicate agli sviluppatori. Se questa azione riesce, l’attaccante può modificare l’app per configurare il webhook a proprio piacimento.
Per chi non lo sapesse, i webhook rappresentano un meccanismo mediante il quale le pagine web e le applicazioni possono scambiarsi dati in tempo reale tramite HTTP. Con un funzionamento simile a quello delle API, differiscono per il fatto che i webhook inviano informazioni in modo automatico, senza che il destinatario debba in qualche modo richiederle.
Con i webhook attivi, il programma riesce a “fotografare” la macchina di destinazione e parte alla ricerca delle credenziali: password, token, indirizzi IP e quant’altro non solo da Discord, ma anche da Edge, Chrome e altre 18 applicazioni. Qualsiasi dato analizzato in questo processo viene reinviato all’attaccante tramite i webhook.
“La nostra ricerca su KurayStealer supportata da OSINT evidenzia l’aumento della prevalenza di ladri di password che sfruttano i token Discord come C2 per raccogliere le credenziali delle vittime. Le aziende devono disporre di controlli di sicurezza rigorosi e di soluzioni di sicurezza e visibilità a più livelli per identificare e rivelare tali attacchi“
Scrive in una nota il team di ricerca.