I cyber criminali stanno utilizzando BitRAT, un trojan di accesso remoto, e Lumma Stealer (conosciuto anche come LummaC2), un malware specializzato nel furto di informazioni, nascosti in falsi aggiornamenti del browser. Questo metodo non è nuovo: in passato, simili tattiche sono state utilizzate per diffondere malware come SocGholish. Ad aprile 2024, una campagna simile ha distribuito il malware FakeBat tramite falsi aggiornamenti.
BitRAT è un RAT ricco di funzionalità che consente agli attaccanti di raccogliere dati, minare criptovalute, scaricare ulteriori binari e comandare a distanza gli host infetti. Lumma Stealer, invece, è un malware specializzato nel furto di informazioni da browser web, portafogli di criptovalute e altri dettagli sensibili, molto apprezzato tra i criminali informatici per la sua efficacia nel rubare dati sensibili senza essere rilevato. Attivo da agosto 2022, è venduto sul mercato nero a un prezzo mensile tra i 250 e i 1.000 dollari.
In questa campagna malevola, l’attacco inizia quando le vittime visitano un sito web compromesso che le reindirizza a una pagina di aggiornamento del browser fasulla. Questa pagina include un link per scaricare un file ZIP da Discord, contenente un file JavaScript che avvia script PowerShell. Questi script scaricano BitRAT e Lumma Stealer da un server remoto sotto forma di file immagine PNG. Inoltre, scaricano altri codici malevoli per mantenere la persistenza sui sistemi infetti.
La piattaforma Discord viene utilizzata sempre più spesso per distribuire malware. Una ricerca di Bitdefender ha scoperto oltre 50.000 link pericolosi su Discord tra settembre 2023 e marzo 2024, con gli Stati Uniti, la Francia, la Romania, il Regno Unito e la Germania come principali bersagli.
Nonostante Discord abbia recentemente apportato modifiche alle sue condizioni d’uso proprio per rendere la piattaforma più sicura per gli utenti (tra cui il limite di 24 ore per la scadenza dei file ospitati internamente), gli attori criminali sono ancora estremamente attivi nell’utilizzare la piattaforma per le truffe al fine di rubare le credenziali utilizzando tattiche come falsi concorsi/regali o ricatti diretti.
Per proteggersi da questa minaccia si consiglia di non cliccare su link sospetti, anche se provengono da fonti conosciute e di installare e aggiornare regolarmente software di sicurezza che possano identificare e bloccare minacce. Infine, le aziende dovrebbero investire nella formazione sulla sicurezza informatica per i dipendenti, poiché il fattore umano è spesso l’anello debole della catena di sicurezza.
