Discord’un Yeni Belası NitroHack’e Dikkat Edin!
Hepimizin yaygınca kullandığı konferans programı Discord için yeni bir güvenlik sorunu ortaya çıktı. Discord Nitro hizmetini ücretsiz kullanabileceğinizi vadeden yeni bir yazılımın, kişilerin browser verilerini ve kredi kartı bilgilerini çalıp başkalarına dağıttığı tespit edildi.
Daha önceden de bilindiği üzere, Discord’un JavaScript dosyalarını modifiye etmenize izin vermesi, bu tarz zararlı yazılımların türemesine yardım ediyor. Tabii ki NitroHack de aynı yöntemi kullanıyor. Dahası, bilgilerinizi çalarken DM yoluyla diğer Discord arkadaşlarınıza da virüsü yayıyor.
MalwareHunterTeam tarafından geçen hafta tespit edilen NitroHack, kelimenin tam manasıyla Discord’u bir Trojan’a çeviriyor. DM yoluyla gelen mesaja tıklayan kişilerden bir dosya indirilmesi isteniyor. Bu dosya çalıştırıldığında %AppData%\\Discord\0.0.306\modules\discord_voice\index.js adresindeki dosya değiştiriliyor ve zararlı bir kod satırı ekleniyor. Bu değişiklikler aynı zamanda Discord Canary ve Discord Public Test Build’i de kapsıyor.
Discordu değiştiren NitroHack, program her açıldığında kişinin kullanıcı bilgilerini saldırgana yolluyor. Böylece saldırgan aynı hesaptan giriş yapabiliyor ve virüsü arkadaş listesine yaymaya başlıyor. NitroHack bu verileri toplamak için Chrome, Discord, Opera, Brave, Yandex, Vivaldi ve Chromium tarayıcılarının veri tabanlarına erişiyor ve Discord Tokenları arıyor. Discord’u browser tabanlı kullanan kişiler de nasibini alıyor tabii. Kredi kartı bilgilerini çalmak isteyen saldırganlar https://discordapp.com/api/v6/users/@me/billing/payment-source adresine bağlanıp ödeme bilgilerine erişiyorlar.
Çok hızlı şekilde yayılan NitroHack, kısa zamanda geniş bir kurban kitlesi oluşturuyor. İşin kötü yanı ise birçok kullanıcı hacklendiğinin farkına bile varmıyor. Virüs programları NitroHack.exe’yi bulsa bile dosyalardaki değişimleri tespit edemiyorlar. Yani bir güncelleme gelmeden bu beladan kurtulmak imkânsız oluyor.
Eğer siz de bu virüsten şüphe ediyorsanız %AppData%\\Discord\0.0.306\modules\discord_voice\index.js adresine gidip notepad ile açarak dosyada değişiklik yapılmış mı kontrol etmelisiniz. Normalde dosya şu satırla bitiyor:
module.exports = VoiceEngine;
Eğer buna ek satırlar görüyorsanız ve kendi elinizle bir değişiklik yapmadıysanız sorun var demektir. Virüsten kurtulmak için sonradan eklenen kodu silebilir veya Discord’u yeniden yükleyebilirsiniz.
Benim discord sürümümle mi alakalı bilmiyorum ama klasörün içinde 0.0.306 dosyası yerine 1.0.9005 dosyası var ve javascript e erişemiyorum. Arkadaşım hesabı çalındı ve gelen linklerden birine tıklayıp malum siteye yönlendirildim. Herhangi bir işlem yapmadım veya çerez onaylamadım ama ne olur ne olmaz diye javascript e bakmak istemiştim ama bu sürümünde bulamıyorum. Yardımcı olabilirseniz sevinirim. En acil şekilde.