Hackeado Discord Game The Mozi Malware possível RAT

[Pedro Sales]

Recebi uma mensagem de um aluno que dou aulas pelo discord para testar um jogo novo que ele estava testando. Era um .exe só, e fui inocente e abri direto. Meu discord foi hackeado e fiz um ticket ao discord para conseguir recuperar a conta. Nesse tempo, formatei o meu pc, mudei as senhas do discord e dos emails (junto com autenticação de dois fatores e td mais). Consegui posteriormente recuperar minha conta do discord, mas a desabilitei por precaução.

Após formatar, comprei também o karspesky premium pra continuar fazendo inspeções no meu pc pois mesmo depois de formatado ainda senti ele ainda mais devagar que o normal. Desativei a internet e coloquei para formatar novamente, e so coloquei o cabo novamente quando estava sendo requerido para inicializar o Windows. Dias depois o hacker postou algumas coisas de NFT no meu twitter. O meu twitter não tinha autenticação de 2 fatores e a senha era a mesma do discord, então acabei só trocando a senha do twitter para isso. Porém, normalmente quando alguém loga no meu twitter, aparece um aviso que alguém logou no meu twitter, e esse aviso não foi mostrado, procurei no historico do twitter e também não havia nenhum acesso do twitter a não ser os meus. A senha do meu twitter, era a mesma do discord antes de ser hackeado, então pode ser que tenha usado apenas a senha que ele tinha pego para entrar e por isso estou mudando as senhas das minhas contas.

Informações:
- Fui hackeado dia 3/11
- Discord com a senha alterada 3/11
- Primeira formatação 3/11
- Segunda formatação 7/11
- Entrou na minha conta do twitter e postou na madrugada de 9/11 ~ 10/11

Preocupações:
- Após formatar 2x, ainda tem muitos arquivos na minha pasta de sistema que foram CRIADOS no dia 3/11 e atualizados dia 3/11
- As horas das postagens do twitter, foram em horários que meu pc estava ligado porém eu estava fazendo outras atividades nele.
- Mesmo após as duas formatações integrais (removi tudo tudo) ainda sinto o meu pc um pouco mais devagar do que antes
- Após ver que alguém postou algo no meu twitter (tarde do dia 10/11), vi a aba de sessões do twitter e de histórico de acessos a conta, não tem nenhum acesso registrado a não ser os meus, o que me faz crer que ele postou pelo meu pc.

O link que o hacker usou para tudo isso é essa página: 
>> AVISO É UM MALWARE NÃO CLIQUE!!<<
(Link removido por razões de segurança)
- Coloquei vários espaços para caso alguém dê um missclic não ser redirecionado para a página automaticamente, por favor cuidado

 

[Lusitano]

@Pedro Sales Bem vindo ao Fórum do Clube do Hardware!

 

Para que possa ser devidamente auxiliado, por gentileza siga as instruções do tópico abaixo e na sua próxima resposta, anexe os resultados das análises:

 

[Pedro Sales]

Segue abaixo os arquivos solicitados. Foi detectado um PUP.Optional.Legacy (na aba aparece como extensão do Chrome) que consegui colocar em quarentena porém se eu abro o chrome novamente, ele aparece novamente. Tentei também colocar em quarentena e excluir, mas caso abro o chrome, ele aparece. Os outros arquivos solicitados seguem em anexo abaixo. Muito obrigado novamente pela ajuda

Addition.txt FRST.txt AdwCleaner[S29].txt

[Lusitano]

@Pedro Sales Olá,

 

1. Para desinstalar as extensões que você não conheça no navegador, siga as instruções abaixo:

• Chrome

A análise não indica nada que vá de encontro ao que você relata, mas vamos efetuar umas etapas para verificar mais umas coisas.

 

 

2. Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
StartBatch:
  pushd\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes
  bcdedit.exe /timeout 4
  bcdedit.exe /enum
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
  del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
  del /s /q "%userprofile%\AppData\Local\Temp\*.js"
  del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
  del /s /q "%userprofile%\AppData\Local\Temp\*.html"
  del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
Endbatch:

StartBatch:
 SETLOCAL ENABLEEXTENSIONS
 echo userprofile=%USERPROFILE%
 if not defined userprofile echo no userprofile&goto :eof
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
  del /f /q "%userprofile%\AppData\Roaming\{*.*"
  rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
 :eof
EndBatch:
StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
cmd: del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\0suprm9m.default\cache2\*.*"
cmd: sfc /scannow
cmd: DISM /Online /Cleanup-Image /RestoreHealth
RemoveProxy:
Reboot:
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários

 

 

3. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

 

[Pedro Sales]

===================================
(14:02 , 11.11.2022)
===================================
Após a execução do FRST o que percebi:
• Problema só ocorre no Google Chrome.
• Quando entro no Google Chrome, e faço a verificação do ADW, não aparece nada.
• Somente quando eu logo no meu e-mail e clico em sincronizar o perfil do Chrome com o computador e rodo a verificação do ADW que volta de novo o PUP.Optional.Legacy

• Outro problema estranho é que quando abro o Chrome sem sessão, está aparecendo sempre um perfil chamado "Pessoa 1" que não consigo excluir. Se clico em excluir, aparece um perfil "Pessoa 2" no lugar e um atalho no desktop chamado "Pessoa 1". E se tento excluir o perfil "Pessoa 2", ele volta a ser "Pessoa 1" e fica assim em looping.
• No Edge, se eu ativo a sincronização do e-mail, não dá problema nenhum. A detecção de alerta pelo ADW do PUP aparece só quando depois de eu estar logado no meu e-mail no Chrome, eu ativar a sincronização, aí aparece o PUP.Optional.Legacy na verificação do ADW.

Fiz a execução do ESET Online Scanner:
• O programa apontou que nada foi detectado
• Os mesmos acontecimentos que simulei depois do FRST, ainda permanecem depois de fazer essa operação do ESET

Arquivos solicitados em anexo.

===================================
Atualização: (14:18 , 11.11.2022)
===================================
• Acabei de entrar no meu perfil sincronizado e em sincronização, fui em "Revisar dados sincronizados" > "Remover dados".
• Quando reabri agora o meu Chrome mesmo com a sincronização ativada, o ADW não acusou a presença do PUP voltando ao computador.

Entretanto, ainda não sei se tem algo malicioso dentro do meu computador ou dos meus perfis (?) e se realmente consegui tirar esse PUP 
 

 

ESETScan.txt Fixlog.txt

[Lusitano]

@Pedro Sales Olá, eu não via nenhum malware nas análises e no ESET também nada foi detetado. Basicamente, o que lhe passei foi para limpeza e otimização.

Quanto ao chrome, para remover extensões terá de ser de forma manual conforme o link que lhe passei anteriormente (este) ou pode sempre optar por remove o navegador e voltar a baixar e instalar.

 

Não creio que haja motivos para alarme quanto a malwares presentes no seu pc. Faça o seguinte; deixe assim por uns dois dias e fique atento para ver se nota algo estranho e entretanto caso ainda ocorra isso com o chrome, desinstale e instale-o de novo.

 

Qualquer coisa, é só retornar aqui que vou manter o tópico aberto.

[Pedro Sales]

As extensões eu tinha removido de forma manual como você havia informado, porém mesmo todas sedo removidas, e mesmo desinstalando e instalando o Chrome, quando eu rodava o ADW novamente, aparecia o PUP quando fazia sincronização do perfil do Chrome.  Agora ele não está aparecendo mais. 

Pode deixar, aparecendo algum acontecimento fora do normal, posto novamente aqui.

Lusitano, muito obrigado de coração por toda a ajuda!

 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.