El gigante de la ciberseguridad Kaspersky advirtió sobre el robo de información de tarjetas de crédito por parte de Discord, una plataforma de comunicación ampliamente utilizada por la comunidad cripto para discutir proyectos, fomentar ideas y construir nuevos eslabones para toda la cadena.
Los investigadores de la empresa identificaron cuatro paquetes maliciosos de código abierto para robar información confidencial de los programadores que están en Discord.
Cómo funciona la campaña de malware
Los analistas de Kaspersky han descubierto una nueva campaña maliciosa en Brasil denominada LofyLife, que utiliza cuatro paquetes de código abierto para propagar el malware Volt Stealer y Lofy Stealer dentro de Discord. Los troyanos quieren robar las credenciales de usuario y la información de la tarjeta de crédito utilizada en la aplicación.
Los expertos encontraron cuatro paquetes en el repositorio con troyanos que contenían scripts maliciosos con la palabra clave “Brasil”, una indicación de que la campaña está dirigida a usuarios brasileños.
Una vez instalados en las máquinas de las víctimas, los repositorios maliciosos parecen paquetes de desarrollo utilizados para tareas comunes de Discord, como la edición de texto o ciertas funciones de juegos. Sin embargo, contienen código complejo corrupto de JavaScript y Python, troyanos que llevan el nombre de Lofy Stealer y Volt Stealer, respectivamente.
Volt Stealer es un malware ya conocido y utilizado para robar tokens de Discord en las máquinas infectadas, junto con la dirección IP de la víctima, que se envían a través de HTTP al ciberdelincuente. Lo nuevo en la campaña es Lofy Stealer, un nuevo código malicioso capaz de infectar los archivos de los usuarios de Discord y monitorear las acciones de la víctima dentro de su cuenta.
Después de ser infectado por Lofy Stealer, se rastrea todo lo que un usuario hace en su cuenta: desde cambios de correo electrónico o contraseña, configuraciones de seguridad como la autenticación multifactor (MFA), e incluso agregar nuevos métodos de pago como nuevas tarjetas de crédito. La información recopilada también se envía al punto final remoto controlado por los delincuentes.
La campaña es otro ejemplo más de una amenaza creciente para la comunidad de desarrolladores, que pueden descargar malware sin saberlo mientras usan paquetes de programación de código abierto dentro de Discord.
“Los paquetes maliciosos muy ofuscados que usan Javascript y Python se envían al repositorio de NPM para posibles ataques de error tipográfico (escribir incorrectamente una URL en el navegador). La información disponible públicamente sugiere que los paquetes están dirigidos principalmente a usuarios de Discord con un enfoque en Brasil”, explica Fabio Assolini, director del Equipo de Investigación y Análisis Global de Kaspersky para América Latina.
Entre los consejos más comunes, los expertos en el tema señalan que siempre es importante revisar los enlaces antes de hacer clic. Las direcciones de correo electrónico y las páginas web que parecen confiables suelen ser direcciones con cambios apenas perceptibles.
Descargo de responsabilidad
Toda la información contenida en nuestro sitio web se publica con buena fe y sólo con fines de información general. Cualquier acción que el lector tome sobre la información encontrada en nuestro sitio web es estrictamente bajo su propio riesgo.
