jueves, 30 de junio de 2022

Grupos de menores en Discord se dedican a crear o propagar malware para ganar dinero extra

Hay grupos en Discord creado para atraer a adolescentes que quieran ganar un dinero para sus gastos. Y para conseguir unos euros tienen que propagar malware. El grupo atrae a jóvenes y les da acceso a herramientas para crear malware "con facilidad". La herramienta de creación de malware "Lunar" permite a los usuarios compilar malware con diferentes capacidades, p. para robar contraseñas, cookies y deshabilitar antivirus y acceso a Internet.



Menores jugando con malware e incluso ransomware

A veces, cuando estás investigando, te topas con algo inesperado. Eso es lo que le sucedió al equipo de Avast cuando investigaban el ransomware.

Después de una mayor investigación, el equipo descubrió que este malware estaba encriptando archivos y renombrándolos con la extensión ".LUNAR". También encontraron otro malware en la familia, pero en lugar de ransomware eran ladrones de información y criptomineros.

En algunos casos, la gente tiene que pagar por un acceso a la herramienta de construcción de malware para unirse al grupo, y en otros pueden convertirse en miembros del grupo, donde se les ofrece la herramienta por una tarifa de 5 a 25 euros.

Una de las herramientas de construcción de malware, por ejemplo, permite a los usuarios compilar malware con diferentes capacidades para robar contraseñas, cookies, y desactivar antivirus y acceso a Internet. Por lo que ha descubierto Avast, esta comunidad utiliza servidores Discord dedicados como foro de discusión y lugar de venta para difundir familias de malware como "Lunar", "Snatch" o "Rift", que siguen la tendencia del malware como servicio (as a Service).

Otras de las revelaciones de gente que se ha infiltrado en estos grupos ha descubierto a niños y adolescentes hablando de la posibilidad de hackear a sus escuelas o a algunas de sus profesores. También mencionaron a sus padres y madres como posibles objetivos.

En un grupo de Discord centrado en la venta de "Lunar",había más de 1.500 usuarios, de los cuales unos 60-100 tenían un rol de "cliente", es decir, pagaban por el kit para crear malware. Los precios de las herramientas de construcción de malware difieren según el tipo de herramienta y la duración del acceso a este kit.

Luego, para obtener dinero, lo que hacen estos jóvenes es mediante ransomware o secuestro de datos, la minería de criptomonedas y la venta de datos de los usuarios que han conseguido robar.

El creador del malware lo vendía en el servidor de Discord, aceptaba sugerencias de los clientes e incluso organizaba obsequios. Los miembros de la comunidad compartían complementos entre sí o, a veces, simplemente pasaban el rato para chatear. Y a medida que el equipo de Avast pasó más tiempo en la comunidad, observando su comportamiento y vocabulario, se dieron cuenta de algo sorprendente: la mayoría de los miembros eran menores de entre 11 y 16 años.

Si bien varían un poco en la funcionalidad que ofrecen, la funcionalidad que brindan y la ofuscación utilizada, todos son fundamentalmente iguales. Tienen GUI similares basadas en .NET con diseños, paletas de colores, nombres y logotipos ligeramente diferentes. Aún así, ofrecen la misma función principal: generar muestras de malware personalizadas al marcar algunas casillas de verificación y completar algunos campos de formulario.

El equipo de Avast ha visto muchos constructores similares a Lunar, como Itr0ublveTSC, Mercurial, Snatch, HideGrabber, PirateStealer, AsteroidLLC, Stely, Viny, Rift, etc. Estos constructores comparten código y tienen un modus operandi similar. Los otros constructores también tienen grupos y comunidades similares en línea.

También atraen a las víctimas a través de cosas como videos de "cebo" en YouTube, alentando a las personas a descargar los medios deseados. Una vez que el atacante tiene el video configurado, lo publica en el servidor de Discord y todos los demás miembros de la comunidad lo comentan, proporcionando validación social para las posibles víctimas. Incluso llegan a "advertir" a las víctimas que su antivirus podría bloquearlo y dan instrucciones sobre cómo dejar pasar el archivo permitiendo excepciones.

El equipo de Avast observó luchas internas, inestabilidad, acoso potencial y miembros que robaban el código de los demás y lo vendían ellos mismos. Estas comunidades tienden a estallar y desaparecer rápidamente, ya que los constructores se aburren o la negatividad del grupo se vuelve demasiado.

Niños formando grupos de hacking

El investigador de malware de Avast, Jan Holman, dice que los niños y adolescentes se sienten atraídos por los grupos porque consideran que el hacking es genial y divertido. Los creadores de malware brindan una entrada fácil (no requieren programación real, solo personalización de funciones y apariencia) en esta actividad y permiten que los niños hagan bromas a las personas y ganen dinero. Y el aspecto comunitario de un servidor Discord también proporciona una sensación de camaradería y comunidad.

Los usuarios pueden comunicarse en Discord a través de voz, video o texto y también facilita la realización de actividades grupales, como jugar videojuegos, ver películas o hackear a sus profesores. 

  • La edad mínima para estar en Discord es 13 años, pero definitivamente es una plataforma para todas las edades

Fuentes:

https://www.genbeta.com/actualidad/adolescentes-que-ganan-dinero-creando-malware-propagandolo-asi-funcionan-estos-grupos-discord

https://blog.avast.com/discord-minors-ransomware

https://blog.avast.com/kids-discord-hacking-groups

No hay comentarios:

Publicar un comentario