Detectado un malware multifuncional que aprovecha los bots de Discord

  • Endpoint

Check Point Research ha encontrado varios repositorios maliciosos en GitHub, que incluyen un malware basado en la API de Discord y bots maliciosos con diferentes funcionalidades, tales como realizar capturas de pantalla, descargar y ejecutar archivos adicionales y realizar registro de teclas.

Recomendados: 

El papel de la ciberinteligencia en la seguridad empresarial Webinar

La hoja de ruta de DevOps en materia de seguridad Leer 

El año pasado se produjo un importante repunte en el uso de plataformas de VoIP, mensajería instantánea y comunicación digital, entre ellas Discord, un servicio multiplataforma de mensajería instantánea freeware de chat de voz VolP, video y chat, actualmente con más de 150 millones de usuarios activos al mes. Pues bien, Check Point Research ha observado un posible peligro tras detectar interés de los ciberdelincuentes en Discord. La señal de ello es el hallazgo de un malware multifuncional disponible en Github con capacidad de tomar capturas de pantalla, descargar y ejecutar archivos adicionales, y realizar el registro de teclas, todo ello utilizando las características principales de Discord.

Discord dispone de bots que permiten a los usuarios integrar código para mejorar las características que hacen más fácil la gestión de la comunidad. A medida que la popularidad de esta plataforma ha aumentado, también lo ha hecho el uso de estos bots. Actualmente, la mayoría de ellos pueden instalarse a través de servicios centralizados, como "top.gg", que ofrece una amplia variedad de uso gratuito. Además, los servicios de desarrollo de bots de Discord ofrecen bots propios hechos a medida a distintos precios. Los bots de Discord son eficaces, sencillos y ahorran mucho tiempo, pero se pueden llegar a utilizar fácilmente con fines maliciosos.

En el caso de los repositorios maliciosos encontrados en GitHub, incluyen un malware basado en la API de Discord y bots maliciosos con diferentes funcionalidades. A partir de un examen preliminar, se han descubierto algunas funcionalidades que se pueden obtener utilizando opciones básicas de Python. El hecho de que estos ciberataques estén escritos en lenguajes multiplataforma los hace compatibles con las principales (OSX, Linux, Windows).

El conjunto de herramientas maliciosas DiscordRootKit parece tener varias funcionalidades, tales como abrir un shell en el dispositivo en ejecución; encontrar diferentes tokens de navegadores; realizar capturas de pantalla; tomar instantáneas de la cámara web del dispositivo; registrar teclas; descargar un archivo desde un enlace determinado; copiar el archivo en el escritorio de inicio de Windows para que se ejecute en el momento del arranque; y registrar diferentes acciones de malware.

Finalmente, se ha descubierto que la API del bot de Discord puede convertir fácilmente el bot en un troyano de acceso remoto (RAT). El bot utiliza el módulo Python "Discord", que no requiere que la aplicación Discord esté instalada en el equipo de la víctima. El módulo proporciona el token de la API correspondiente para escuchar los mensajes entrantes en un servidor de Discord predefinido. Una vez que se proporciona un comando, el bot ejecuta las acciones predefinidas en el ordenador de la víctima.