I CyberArk Labs hanno scoperto un nuovo malware chiamato Vare, distribuito attraverso il popolare servizio di chat Discord. Secondo i ricercatori, Vare è stato utilizzato per colpire nuovi operatori malware utilizzando tattiche di social engineering, facendo leva sull’infrastruttura di Discord. Questo malware è collegato a un nuovo gruppo chiamato “Kurdistan 4455” con sede nella Turchia meridionale ed è descritto come in fase ancora iniziale.
Discord è un servizio di messaggistica molto popolare (simile a Slack) che conta più di 300 milioni di utenti attivi. Inizialmente concepito come piattaforma per le comunità di videogiocatori, la sua facilità d’uso e le sue funzionalità ne hanno esteso l’attrattiva a nuove community.
Le origini del malware sulla piattaforma possono essere fatte risalire all’introduzione di Discord Nitro. A fronte di un canone mensile, Nitro consente agli utenti di inviare file più grandi e messaggi più lunghi, di avere una qualità di streaming video superiore e molto altro ancora.
Come per molte funzioni premium, Discord Nitro è diventato molto popolare tra gli utenti e ha spinto alcuni di loro a cercare di acquisirlo senza pagare, ricorrendo anche a metodi illegali, come il brute-forcing delle chiavi regalo e il social engineering.
Alcuni utenti hanno fatto un ulteriore passo avanti e hanno iniziato a utilizzare malware per guadagnare denaro prendendo di mira altre persone sulla piattaforma, rubando i dati della loro carta di credito e acquistando da remoto all’insaputa della vittima le chiavi regalo di Discord Nitro, che possono essere riscattate per ottenere il servizio premium, che gli attori rivendono a scopo di lucro. Dalle ricerche dei CyberArk Labs sull’attività della piattaforma, sono state trovate prove che il gruppo Kurdistan 4455 mira ad appropriarsi dei risultati ottenuti da altri gruppi di malware prendendo di mira questi ultimi anziché gli utenti, raccogliendo così un facile successo con uno sforzo minimo.
