أيقونة تطبيق ديسكورد على شاشة الهاتف الذكي. التقطها إيفان راديتش في 15 أبريل 2021. المصدر: فليكرتم الكشف عن حملة برمجيات خبيثة جديدة تستهدف مستخدمي العملات الرقمية عبر روابط دعوة ديسكورد. وتشير المعلومات إلى أن هذه البرمجيات تستغل ثغرة في نظام دعوات ديسكورد لنشر برنامج لسرقة المعلومات يُعرف باسم Skuld، بالإضافة إلى حصان طروادة AsyncRAT للتحكم عن بُعد.
في تقرير صادر عن شركة Check Point، ذكرت المنصة أن المهاجمين يختطفون الروابط من خلال تسجيل الروابط المخصصة، مما يسمح لهم بإعادة توجيه المستخدمين بسهولة من المصادر الموثوقة إلى الخوادم الخبيثة.
وقالت شركة Check Point: "قام المهاجمون بدمج تقنية التصيد الاحتيالي ClickFix، وبرامج التحميل متعددة المراحل، والتهرب القائم على الوقت لتسليم AsyncRAT خلسة، وبرنامج Skuld Stealer مخصص يستهدف محافظ العملات المشفرة".
بحسب المنصة، يتمثل أحد استخدامات آلية الدعوات في ديسكورد في تمكين المهاجمين من الاستيلاء على روابط الدعوات المنتهية الصلاحية أو المحذوفة، وإعادة توجيه المستخدمين غير المشتبه بهم سرًا إلى خوادم خبيثة مختلفة تحت سيطرتهم. وهذا يعني أن رابط دعوة ديسكورد، الذي تمت مشاركته سابقًا لغرض مشروع على وسائل التواصل الاجتماعي والمنتديات الأخرى، يمكن استخدامه لتوجيه المستخدمين إلى خوادمهم ومنصاتهم الخبيثة.
تم اختراق رابط دعوة ديسكورد لأغراض خبيثة
يأتي هذا التطور بعد مرور أكثر من شهر بقليل على كشف حملة تصيد احتيالي متطورة أخرى، استغلت روابط وهمية منتهية الصلاحية لجذب المستخدمين للانضمام إلى خادم ديسكورد، موجهةً إياهم لزيارة موقع تصيد احتيالي للتحقق من ملكيتهم. استخدم المهاجمون المنصة لاحقًا للوصول غير القانوني إلى محافظ المستخدمين الرقمية وسحب أموالهم منها بعد ربطها.
على الرغم من إمكانية إنشاء روابط دعوة مؤقتة أو دائمة أو مخصصة على منصة ديسكورد، إلا أن المنصة لا تسمح للخوادم الأخرى المعتمدة باستعادة روابط الدعوة التي انتهت صلاحيتها أو حُذفت سابقًا. مع ذلك، إذا أنشأ المستخدم رابطًا مخصصًا، فبإمكانه إعادة استخدام رموز الدعوة المنتهية الصلاحية، وحتى بعض رموز الدعوة الدائمة المحذوفة في بعض الحالات.
تتيح هذه الخاصية، المتمثلة في إعادة استخدام الرموز المنتهية الصلاحية أو المحذوفة عند إنشاء روابط دعوة مخصصة، للمجرمين استغلالها، حيث ينسب معظمهم هذه الروابط إلى خوادمهم الخبيثة. وقالت شركة تشيك بوينت: "يشكل هذا خطراً جسيماً: إذ قد يُعاد توجيه المستخدمين الذين ينقرون على روابط دعوة موثوقة سابقاً (مثل تلك الموجودة على مواقع الويب أو المدونات أو المنتديات) دون علمهم إلى خوادم ديسكورد مزيفة أنشأها مجرمون إلكترونيون".
بحسب التقرير، تتضمن عملية اختطاف روابط دعوة ديسكورد استخدام رابط دعوة شرعي مُشارك من قِبل المجتمعات لإعادة توجيه المستخدمين إلى خادم خبيث. يُطلب من ضحايا هذه العملية إكمال عملية تحقق تتضمن إدخال بيانات شخصية للحصول على صلاحيات كاملة على الخادم. يتم ذلك عن طريق السماح لبرنامج آلي (بوت) بتوجيههم إلى موقع ويب مزيف حيث يُطلب منهم التحقق من المعلومات المُقدمة. بعد ذلك، يستخدم المحتالون أسلوب الهندسة الاجتماعية لخداع المستخدمين وإصابة أجهزتهم ببرامج خبيثة.
يقوم مجرمون إلكترونيون بسرقة عبارات استعادة المحفظة باستخدام برامج خبيثة
بحسب التقرير، فإنّ برمجية Skuld الخبيثة قادرة على سرقة عبارات استعادة محافظ العملات الرقمية من محفظتي Exodus وAtomic. وتنفذ هذه البرمجية هذه العملية باستخدام أسلوب يُعرف باسم "حقن المحفظة"، حيث تستبدل النسخة الأصلية من ملفات التطبيق بنسخ مُحمّلة ببرامج تجسس مُنزّلة من GitHub. كما تتضمن حمولة أخرى برنامج Goland لسرقة المعلومات، والذي يُمكن تنزيله من Bitbucket. ويُستخدم هذا البرنامج لسرقة البيانات الحساسة من Discord، ومتصفحات الإنترنت المختلفة، ومحافظ العملات الرقمية، ومنصات الألعاب.
أضافت شركة تشيك بوينت أنهاdentأيضاً حملة خبيثة أخرى يشنها نفس المهاجم، حيث قام بتوزيع برنامج تحميل كنسخة معدلة من أداة اختراق لفك تشفير أجهزة الراديو المقرصنة. ووفقاً للتقرير، تم تحميل البرنامج 350 مرة على موقع Bitbucket. ويتركز ضحايا هذه الحملات بشكل أساسي في الولايات المتحدة وفرنسا وسلوفاكيا وهولندا والنمسا وفيتنام والمملكة المتحدة.
تُظهر النتائج أحدث مثال على كيفية استهداف مجرمي الإنترنت للمنصة. وقال الباحثون: "تُوضح هذه الحملة كيف يُمكن استغلال ميزة خفية في نظام دعوات ديسكورد، وهي إمكانية إعادة استخدام رموز الدعوات المنتهية الصلاحية أو المحذوفة في روابط دعوات مُخصصة، كأداة هجوم فعّالة. فمن خلال الاستيلاء على روابط الدعوات المشروعة، يُعيد المهاجمون توجيه المستخدمين غير المُدركين إلى خوادم ديسكورد خبيثة دون علمهم."
