NitroHack: el malware que roba tu cuenta de Discord

Iniciado por Dragora, Junio 24, 2020, 07:26:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Discord se ha convertido en la plataforma de referencia para comunicarnos con nuestros amigos mientras jugamos. La app se cargó de la noche a la mañana a TeamSpeak, y también hay muchas empresas que la utilizan como alternativa a Slack, donde una de sus mejores funciones son los bots para Discord. Ahora, un nuevo malware está intentando engañar a los usuarios para robarles las cuentas.

Este nuevo malware se está distribuyendo por chats, afirmando ser un hack que permite obtener la suscripción de pago de Discord Nitro. Sin embargo, se trata de un malware que roba los tokens de acceso de los usuarios en sus navegadores web, junto con otros datos como números de tarjeta. Una vez ha robado toda la información posible, busca infectar a más usuarios a través de la cuenta del usuario hackeado.

NitroHack: el malware más peligroso para Discord

El nombre del malware es NitroHack, un troyano que se vale de la facilidad de modificar los archivos JavaScript del programa para robar lo datos. Si se descarga y ejecuta el archivo con el malware, se modifica el archivo %AppData%/Discord/0.0.306/modules/discord_voice/index.js para añadir el código malicioso al final.

Añadiendo ese código, el malware se convierte en persistente en el programa y puede enviar los tokens de la víctima al canal de Discord del hacker cada vez que el usuario infectado abra el programa. Con esos tokens, el atacante puede loguearse como si fuera el usuario y copiar las bases de datos de Chrome, Discord, Opera, Brave, Yandex, Vivaldi y Chromium para buscar los tokens de Discord y seguir diseminando el troyano.

Así, no sólo ataca a los usuarios con el programa instalado, sino que también ataca a los que estén logueados a través del navegador e intenta robar la información de pago que tengan en la URL «No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/v6/users/@me/billing/payment-source».

Por todo esto, el malware es muy peligroso. Se extiende muy rápido gracias al mecanismo de distribución a través de las cuentas de amigos, además de tener persistencia en el programa. Y desgraciadamente no es el primero, ya que hace un mes apareció una nueva versión del malware AnarchyGrabber que también modificaba el programa.

Mira este archivo para saber si tienes malware
Lo peor de esto es que el usuario no tiene ninguna manera de saber que está infectado al usar Discord. Al ejecutarse sólo una vez de manera rápida para robar toda la información posible y seguir diseminándose, si el antivirus no lo tiene en su base de datos, no lo detectará tras la primera ejecución. Y al no estar ejecutándose después, tampoco será detectable.

La única manera de saber si estamos o no infectados es ir a %AppData%Discord.0.306modulesdiscord_voiceindex.js y abrirlo con el Bloc de notas. Si vamos al final, la última línea ha de ser module.exports = VoiceEngine;

Si en su lugar encontramos más texto en la parte final, y tú no has añadido ninguna modificación al programa, es muy probable que estés infectado. Por tanto, lo único que tienes que hacer es eliminar esa parte del código, o mejor todavía: reinstalar el programa asegurándote de que el archivo index.js se borra.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta