Golpistas exploram convites do Discord e instalam malware que rouba dados

Investigadores da Kaspersky identificaram uma campanha que recorre a convites do Discord para infiltrar software malicioso e recolher informação sensível dos utilizadores. O esquema tira partido das diferenças entre links temporários, permanentes e personalizados, permitindo que criminosos copiem códigos expirados ou eliminados e desviem as vítimas para servidores fraudulentos.

Como o ataque aproveita os convites

O Discord gera três tipos principais de ligações de acesso: temporárias, permanentes e personalizadas. Nos dois primeiros casos, o código é gerado aleatoriamente e deixa de funcionar quando expira ou é removido. Os atacantes monitorizam estes códigos e, assim que deixam de estar em uso, criam um link personalizado com o mesmo conjunto de caracteres.

Como o formato personalizado permite até 32 caracteres, qualquer sequência pode ser replicada. Quando o utilizador clica na ligação num anúncio, rede social ou mensagem privada, pensa estar a entrar no servidor legítimo, mas é encaminhado para uma estrutura controlada pelos atacantes.

A análise descreve três cenários:

• Substituição de códigos de links temporários, independentemente de letras maiúsculas ou minúsculas;
• Recuperação de códigos pertencentes a links permanentes que foram apagados;
• Reutilização de endereços personalizados caso o servidor original perca a assinatura que habilita esse recurso.

Estratégia dentro do servidor falso

Após o redirecionamento, o utilizador encontra apenas um canal denominado “Verify”. Um bot serve instruções sucessivas, conduzindo a vítima a clicar em ligações externas e a conceder permissões. Em passos finais, o site copia automaticamente um comando para a área de transferência e solicita que seja colado na janela “Executar” do Windows (atalho Win + R).

Ao executar o comando, dois programas maliciosos são instalados:

• AsyncRAT – ferramenta de acesso remoto que permite controlo total do equipamento, visualização de ecrã e gestão de ficheiros;
• Skuld Stealer – malware dedicado a recolher credenciais, tokens de autenticação, carteiras de criptomoedas e outros dados pessoais.

Combinados, estes componentes possibilitam a exfiltração de informação bancária, palavras-passe e fichas de sessão, ampliando o prejuízo financeiro e a perda de privacidade.

Impacto e recomendação de segurança

O Discord mantém-se popular entre comunidades de jogos, estudo e trabalho, o que expande o número potencial de alvos. Como os links são amplamente partilhados em fóruns, transmissões de vídeo e redes sociais, a probabilidade de uma ligação clonada chegar ao utilizador final aumenta.

Para reduzir o risco, os especialistas sugerem:

• Desconfiar de servidores que exigem verificações fora do ambiente nativo do Discord;
• Confirmar que o endereço de qualquer página de verificação contém o domínio oficial do serviço (discord.com ou discord.gg);
• Ativar autenticação de dois fatores na conta;
• Evitar colar comandos copiados automaticamente, sobretudo na janela “Executar”;
• Manter um antivírus atualizado e realizar análises regulares.

Até ao momento, não existem indicações de correção estrutural por parte do Discord que impeça a criação destes links imitadores. A vigilância do utilizador e boas práticas de higiene digital continuam a ser a primeira linha de defesa.

Mecânica do golpe em 5 passos

1. Administrador legítimo gera um convite temporário: https://discord.gg/se8k98m.
2. Código expira ou é apagado.
3. Criminoso cria link personalizado com o mesmo código: https://discord.gg/se8k98m.
4. Utilizador abre a ligação e entra num servidor falso que apresenta apenas o canal “Verify”.
5. Bot conduz a instalação do AsyncRAT e Skuld Stealer através de comandos mascarados.

O processo decorre em poucos minutos, bastando uma sequência de cliques para comprometer completamente o sistema da vítima.

Imagem: tecmundo.com.br