martes, 19marzo, 2024
17.5 C
Seville

Descubren que menores de edad utilizan los servidores de Discord para ganar dinero propagando malware

Recientemente se han detectado nuevas muestras de malware que están aprovechando los servicios de Discord como servidor de control, que recibe la información privada robada de las máquinas infectadas

Agustín Millán
Agustín Millánhttp://pompona22.wixsite.com/agustinmillan
Foto periodista especializado en manifestaciones y actos sindicales. Desde 2011 fotografiando la crisis más dura de la historia moderna. Responsable de redes sociales de la Cumbre Social España. Fotógrafo con 5 campañas electorales entre ellas la de Manuela Carmena y la de Enrique Santiago en IU Madrid.
- Publicidad -

análisis

- Publicidad -

Avast, líder mundial en seguridad digital y privacidad, ha descubierto una comunidad online de menores que construye, intercambia y difunde malware, incluyendo ransomware y una mezcla de ladrones de información y criptomineros.

Menores delincuentes: ganar dinero propagando malware

El grupo atrae a usuarios jóvenes ofreciendo acceso a diferentes constructores de malware y kits de herramientas. Estas permiten a los principiantes construir malware fácilmente. En algunos casos, los interesados tienen que comprar el acceso a la herramienta de construcción de malware para unirse al grupo. En otros, pueden convertirse en miembros pagando una tarifa nominal de 5 a 25 euros por la herramienta.

La comunidad utiliza servidores Discord especializados, como foros de discusión y sitios de venta, para difundir familias de malware. Entre ellos, «Lunar», «Snatch» o «Rift», que siguen la tendencia actual del malware como servicio. Estos foros de discusión revelan que se profieren insultos relacionados con la edad casi a diario.

Discutieron la idea de hackear a sus profesores y sistemas escolares

Los niños también revelaron sus edades, discutieron la idea de hackear a sus profesores y sistemas escolares y mencionaron a sus padres en las conversaciones. En un grupo de Discord centrado en la venta de «Lunar», había más de 1,5K usuarios, de los cuales unos 60-100 tenían rol de «cliente». Por ello tenían que pagar por el constructor. Los precios de las herramientas de construcción de malware difieren según el tipo de herramienta y la duración del acceso a la misma.

Los tipos de malware que se intercambian entre los adolescentes se dirigen tanto a menores como a adultos. Cuentan con opciones que incluyen el robo de contraseñas e información privada, la criptominería e incluso el ransomware. Por ejemplo, si un usuario compra una herramienta de construcción y decide utilizarla para el robo de datos, la muestra generada enviará cualquier dato robado al usuario que la generó y distribuyó.

Si utiliza una herramienta para generar una muestra de ransomware, se pedirá a la víctima que envíe dinero a la criptocartera de ese usuario. Otras características destacadas son el robo de cuentas de videojuegos, el borrado de carpetas de Fortnite o Minecraft, o la apertura repetida de un navegador web con contenido para adultos, aparentemente solo para gastar una broma a los demás.

Presumir de ganar dinero propagando malware

“Estas comunidades pueden ser atractivas para los niños y adolescentes, ya que el hacking es visto como algo bueno y divertido. Los creadores de malware proporcionan una forma asequible y fácil de hackear a alguien. Además presumen de ello ante el resto de sus compañeros. Incluso es una forma de ganar dinero a través del ransomware, la criptominería y la venta de datos de usuarios”, especificó el investigador de malware de Avast, Jan Holman.

“Sin embargo, estas actividades no son, ni mucho menos, inofensivas, sino delictivas. Pueden tener importantes consecuencias personales y legales, especialmente si los niños exponen sus identidades y las de sus familias online. Si el malware comprado realmente infecta el ordenador de los adolescentes, lo que deja a sus familias en situación de vulnerabilidad al permitirles que utilicen el dispositivo infectado. Sus datos, incluidas las cuentas online y los detalles bancarios, pueden ser filtrados a los ciberdelincuentes”, añadió Holman.

Distribución de malware a través de YouTube

Después de comprar y compilar su muestra de malware individualizada, algunos usuarios utilizan YouTube para comercializarla y distribuirla. Los investigadores de Avast han visto a usuarios crear un vídeo en YouTube que supuestamente incluye información sobre un juego crackeado o un truco del juego, al que enlazan.

Sin embargo, la URL en realidad lleva a su malware. Para generar confianza en su vídeo, piden a otros usuarios en Discord que le den a me gusta. También, que dejen comentarios, avalándolo y diciendo que es auténtico. En algunos casos incluso piden a otras personas que comenten que, si su software antivirus detecta el archivo como malicioso, se trata de un falso positivo. 

«Esta técnica es bastante insidiosa, ya que en lugar de cuentas falsas y bots, se utilizan personas reales para votar el contenido dañino. Como las cuentas reales colaboran comentando de forma positiva el contenido, el enlace malicioso parece más fiable y, por tanto, puede engañar a más personas para que lo descarguen», comenta Jan Holman.

El cibercrimen entendido como una broma

A través de la monitorización de las comunidades online, Avast descubrió que, a pesar de que los miembros del grupo se apoyan mutuamente con el cibercrimen entendido como una broma, pero también como un robo real de información y dinero, también hay conversaciones que se vuelven turbulentas con facilidad. Se observó una cantidad considerable de peleas, inestabilidad y acoso entre los usuarios con una competencia «despiadada» que llega al punto de apropiarse de la base de código de otra persona y difamarla. 

Los creadores de malware son herramientas que permiten a los usuarios generar archivos maliciosos sin ninguna programación previa. Normalmente, los usuarios sólo tienen que seleccionar las funcionalidades y personalizar detalles como el icono.

Familias de malware

Hay varias familias de malware basadas en constructores que tienen interfaces de usuario similares con diseños, paletas de colores, nombres y logotipos ligeramente diferentes. Suelen ser proyectos de corta duración basados en un código fuente de GitHub o de algún otro constructor, rebautizados con un nuevo logotipo y nombre, y a veces ligeramente retocados o modificados con nuevas funcionalidades.

Avast ha creado detecciones que protegen a los usuarios de las muestras que se propagan en los servidores y se ha puesto en contacto con Discord para informar sobre estos grupos. Discord confirmó que toman medidas para hacer frente a este tipo de comunidades y ha prohibido los servidores asociados a los hallazgos de Avast.

Cómo proteger a los niños de las actividades oscuras en Internet:

Es muy importante enseñar a los niños a ser críticos con las ofertas atractivas, como nuevas funciones de juegos que no están disponibles en las tiendas oficiales o las versiones preliminares de juegos populares.

Los padres y madres también deben educar a los niños sobre la importancia de la seguridad de las contraseñas y explicarles que nunca deben compartirlas con otras personas, aunque digan ser sus amigos o algún experto en videojuegos que les ofrezca ayuda. Para los menores más pequeños, es crucial no revelar ninguna información personal cuando juegan en plataformas multijugador, como Discord o el juego Minecraft.

Orientación ética

Además, los niños siguen necesitando orientación ética sobre lo que está bien o mal, también en el espacio digital. Lo que puede parecer aventurero y divertido puede acarrear graves daños a otros y ser un verdadero delito. Los niños y niñas pequeños pueden pensar que están a salvo ya que aún no son legalmente responsables, sin embargo, sus padres sí lo son. Es importante que los padres hablen con sus hijos sobre esto.

Discord también compartió con Avast el consejo de recomendar a los padres que ayuden en la adaptación de la configuración para evitar que el niño reciba mensajes de extraños. Se pueden encontrar más consejos de seguridad para padres y madres en el blog de Discord

TroubleGrabber: El malware que utiliza Discord como servidor de control

TroubleGrabber, un malware detectado recientemente que esta utilizando los servidores de Discord para enviar la información robada a sus operadores.

Al parecer, el propio desarrollador del troyano está distribuyendo su creación a través de su propio canal de Discord, en el que cuenta con más de 500 miembros. De esta forma, el propio malware se encuentra alojado en los servidores de Discord para su descarga, aunque algunas versiones y sus implantes también han estado disponibles en repositorios de Github pertenecientes al atacante.

En la siguiente imagen, los investigadores de Netskope que han detectado este troyano, reflejan el esquema completo que utiliza el atacante para infectar a sus víctimas y robar sus datos.



Esquema de funcionamiento (Fuente: Netskope)

El esquema de infección

Tal y como podemos observar, el esquema de infección comienza en Discord, el lugar en el que el operador consigue que sus víctimas descarguen el malware y se infecten.

A partir de esta primera infección, el malware se encarga de descargar los diferentes payloads o implantes desde Discord o Github. Dichos implantes, como podemos observar, son en muchos casos binarios relativos a software legítimo, pero que en este contexto se utilizan con intenciones maliciosas.

Uno de los binarios que se descarga es el del software ‘WebBrowserPassView‘, desarrollado por la empresa NirSoft y que se utiliza para obtener la lista completa de contraseñas almacenadas en los navegadores del equipo. De este modo, el atacante logra robar las contraseñas de la víctimas.

La información robada se envía a los servidores de Discord

Toda la información robada se envía a los servidores de Discord utilizando las funcionalidades de ‘webhooks‘. Gracias a esta funcionalidad, el malware puede enviar la información realizando una petición HTTP a los servidores de Discord, y el atacante recibe dicha información como si se tratase de un mensaje de Discord normal enviado por un bot legítimo.

La ventaja de usar la infraestructura de una compañía como Discord, es que es más complicado de bloquear la comunicación con los atacantes, ya que al usar servidores legítimos las suites de seguridad no pueden bloquear la comunicación de forma sencilla. Aunque Discord comienza a incorporar detección automática de este tipo de abusos, podría convertirse en un arma de doble filo para los operadores de malware

- Publicidad -
- Publicidad -

Relacionadas

- Publicidad -
- Publicidad -

DEJA UNA RESPUESTA

Comentario
Introduce tu nombre

- Publicidad -
- Publicidad -
- Publicidad -
- Publicidad -

últimos artículos

- Publicidad -
- Publicidad -

lo + leído

- Publicidad -

lo + leído