Uma comunidade formada por jovens na faixa de 11 a 18 anos está utilizando servidores do Discord como um fórum de discussão e local de venda e disseminação de famílias de malwares como o “Lunar”, o “Snatch” e o “Rift”, numa típica operação de malware como serviço (malware-as-a-service). A descoberta foi anunciada hoje pela Avast. Segundo levantamento de pesquisadores da empresa, o material inclui ransomware, stealers e criptomineradores. O grupo atrai usuários jovens com anúncios para o acesso a diferentes kits de ferramentas e de criação de malwares, projetados para que leigos construam malwares com facilidade. Em alguns casos, as pessoas precisam comprar acesso à ferramenta para participar do grupo e, em outros, podem se tornar membros do grupo, onde a ferramenta é oferecida por preços que vão de cinco a 25 euros.
Veja isso
Hackers usam o aplicativo Discord para espalhar malware
Malware as a service já faturou US$ 3 milhões
Os jovens revelaram em conversas as suas idades, discutiram a ideia de hackear professores e sistemas escolares, e mencionaram seus pais em conversas. Num grupo do Discord focado na venda de “Lunar”, havia mais de 1,5 mil usuários, dos quais cerca de 60 a 100 tinham uma função de “cliente”, o que significa que pagavam pela ferramenta de construção de malware. Os preços das ferramentas de criação de malware diferem dependendo da categoria e da duração do acesso.
“Essas comunidades podem ser atraentes para crianças e adolescentes, pois o hacking é visto como algo divertido, os criadores de malwares fornecem uma maneira acessível e fácil de hackear alguém e se gabar para os colegas, e até mesmo uma maneira de ganhar dinheiro com ransomwares, mineração de criptomoedas e a venda de dados de usuários”, diz Jan Holman, Pesquisador de Malware da Avast. “No entanto, essas atividades não são inofensivas nem de longe, são criminosas. Elas podem ter consequências pessoais e legais significativas, especialmente se as crianças ou adolescentes expuserem as suas próprias identidades ou as das suas famílias ou se o malware comprado realmente infectar o computador das vítimas, deixando vulneráveis os dispositivos dessas famílias. Os seus dados, incluindo contas e dados bancários online, podem vazar para os cibercriminosos”, acrescenta Holman.
Após comprar e compilar a sua amostra individualizada de malware, alguns clientes usam o YouTube para distribuí-lo no mercado. Os pesquisadores da Avast viram clientes criarem um vídeo no YouTube, supostamente mostrando informações sobre um jogo crackeado, ou um truque num jogo, cujo link enviam aos outros. No entanto, a URL realmente leva aos malwares. Para transmitir confiança no seu vídeo, eles pedem para que outras pessoas no Discord curtam e deixem os seus comentários no vídeo, endossando-o e mostrando ser genuíno. Em alguns casos, até pedem para que outras pessoas comentem que, se o software antivírus detectar o arquivo como malicioso, isso é um falso positivo.
Através do monitoramento de comunidades online, a Avast descobriu que, apesar de os membros do grupo se apoiarem mutuamente no cibercrime, parcialmente considerado como uma brincadeira, mas também como roubo de dados e de dinheiro, também há conversas que facilmente se tornam bastante turbulentas. Observou-se uma considerável quantidade de brigas, instabilidade e bullying entre os usuários, com uma competição acirrada que chega ao ponto de se apropriar da base de códigos de outra pessoa e até à calúnia.
As ferramentas de criação de malware permitem aos usuários gerar arquivos maliciosos, sem precisar programar nada. Normalmente, os usuários precisam apenas selecionar as funcionalidades e personalizar detalhes como o ícone. Existem várias famílias de malwares construídos com essas ferramentas e apresentam interfaces de usuário semelhantes, com layouts, paletas de cores, nomes e logotipos ligeiramente diferentes. Geralmente, as ferramentas são projetadas para ser de curta duração, baseadas num código-fonte hospedado do GitHub ou alguma outra ferramenta de construção, renomeadas com um novo logotipo e nome, às vezes, levemente ajustadas ou modificadas com novas funcionalidades.
A Avast criou detecções que protegem os usuários contra as amostras que se espalham nos servidores e entrou em contato com o Discord, para informá-los sobre esses grupos. O Discord confirmou que eles tomam medidas para lidar com essas comunidades e baniu os servidores associados às descobertas da Avast.