Специалисты Trend Micro предупредили, что злоумышленники используют API популярного VoIP-приложения Discord для атак на геймеров. Целью преступников на этот раз стали пользователи популярной MMO-игры Roblox, чья ежемесячная аудитория насчитывает более 12 млн человек.
Исследователи пишут, что основной целью неизвестных злоумышленников является внутриигровая валюта Robux, которую можно обменять на реальные деньги. Подобные атаки на самые разные игровые платформы не редкость, но, казалось бы, причем здесь Discord? Проблема заключается в самом API популярного VoIP-сервиса. Дело в том, что Discord поддерживает использование webhooks, то есть позволяет каналам и пользователям получать автоматические сообщения и обновления данных от других платформ. Преступники используют эту особенность приложения в качестве канала для хищения данных.
Аналитики объясняют, что целевую систему заражают малварью, к примеру, один из таких вредоносов детектируется Trend Micro как TSPY_RAPID.A. Данное приложение распространяется на геймерских форумах и в сообществах под видом читерской утилиты, которая позволяет игроку модифицировать своего персонажа и получить несправедливое преимущество над другими пользователями. В код вредоноса встроен Discord webhook, который можно увидеть на скриншоте ниже.
Малварь обнаруживает на зараженной машине Roblox и внутриигровую валюту, а затем похищает куки игрового аккаунта. Для пересылки украденной информации злоумышленникам вредонос использует Discord. В итоге похищенные куки используются для входа в аккаунт жертвы, и преступники похищают Robux пострадавшего.
Другой вариант той же малвари, TSPY_RAPID.D, работает в зараженной системе постоянно, что позволяет обнаружить создание новых игровых аккаунтов, скомпрометировав и их тоже. Более того, эта версия подменяет сам исполняемый файл Roblox, после чего при попытке запуска игры отображается фальшивое сообщение об ошибке. Вариация TSPY_RAPID.A запускается лишь один раз и не пытается «испортить» игру.