Discord-App-Symbol auf einem Smartphone-Bildschirm. Aufgenommen am 15. April 2021 von Ivan Radic. Quelle: FlickrEine neue Malware-Kampagne, die Krypto-Nutzer über Discord-Einladungslinks ins Visier nimmt, wurde aufgedeckt. Laut Informationen nutzt die neue Malware eine Schwachstelle im Einladungssystem von Discord aus, um den Datendieb Skuld und den Remote-Access-Trojaner AsyncRAT zu verbreiten.
In einem Bericht von Check Point wird erwähnt, dass die Angreifer die Links über die Registrierung von Vanity-Links kapern, wodurch sie Benutzer leicht von vertrauenswürdigen Quellen auf bösartige Server umleiten können.
„Die Angreifer kombinierten die ClickFix-Phishing-Technik, mehrstufige Loader und zeitbasierte Ausweichmanöver, um AsyncRAT heimlich zu liefern, sowie einen angepassten Skuld Stealer, der auf Krypto-Wallets abzielt“, sagte Check Point.
Laut der Plattform besteht eine der Sicherheitslücken im Einladungsmechanismus von Discord darin, dass Angreifer abgelaufene oder gelöschte Einladungslinks missbrauchen und ahnungslose Nutzer heimlich auf verschiedene, von ihnen kontrollierte, schädliche Server umleiten können. Das bedeutet, dass ein Discord-Einladungslink, der zuvor für einen legitimen Zweck in sozialen Medien und anderen Foren geteilt wurde, dazu verwendet werden kann, Nutzer auf die Server und Plattformen dieser Angreifer zu locken.
Discord-Einladungslink für böswillige Zwecke missbraucht
Diese Entwicklung folgt gut einen Monat, nachdem das Cybersicherheitsunternehmen aufgedeckt hatte . Dabei wurden abgelaufene personalisierte Links missbraucht, um Nutzer in einen Discord-Server zu locken und sie dort zur Bestätigung ihrer Inhaberschaft auf eine Phishing-Seite zu führen. Die Angreifer nutzten die Plattform schließlich, um sich illegalen Zugriff auf die digitalen Geldbörsen der Nutzer zu verschaffen und diese nach der Verknüpfung leerzuräumen.
erlaubt Nutzern zwar, temporäre, permanente oder benutzerdefinierte Einladungslinks zu erstellen, jedoch ist es Discord anderen legitimen Servern nicht gestattet, einen abgelaufenen oder gelöschten Einladungslink wiederherzustellen. Erstellt ein Nutzer jedoch einen benutzerdefinierten Link, kann er abgelaufene Einladungscodes und in manchen Fällen sogar einige gelöschte permanente Einladungscodes wiederverwenden.
Die Möglichkeit, abgelaufene oder gelöschte Codes bei der Erstellung personalisierter Einladungslinks wiederzuverwenden, ermöglicht es Kriminellen, diese zu missbrauchen. Die meisten von ihnen geben die Codes für ihre schädlichen Server aus. „Dies birgt ein ernstes Risiko: Nutzer, die zuvor vertrauenswürdigen Einladungslinks folgen (z. B. auf Webseiten, Blogs oder Foren), können unwissentlich auf gefälschte Discord-Server umgeleitet werden, die von Angreifern erstellt wurden“, so Check Point.
Dem Bericht zufolge werden beim Discord-Einladungslink-Hijacking legitime Einladungslinks, die von Communities geteilt werden, missbraucht, um Nutzer auf einen manipulierten Server umzuleiten. Die Opfer werden aufgefordert, einen Verifizierungsprozess abzuschließen, bei dem sie mehrere Daten eingeben müssen, um vollen Zugriff auf den Server zu erhalten. Dies geschieht durch die Autorisierung eines Bots, der sie auf eine gefälschte Website führt, wo sie die angegebenen Informationen bestätigen sollen. Anschließend nutzen die Betrüger Social Engineering, um die Nutzer dazu zu bringen, ihre Systeme zu infizieren.
Angreifer stehlen mithilfe von Schadsoftware die Seed-Phrasen der Wallet
Dem Bericht zufolge kann die Skuld-Malware Seed-Phrasen von Exodus- und Atomic-Krypto-Wallets auslesen. Dies geschieht durch Wallet-Injection, bei der die Originalversion der Anwendungsdateien durch mit Trojanern infizierte Versionen ersetzt wird, die von GitHub heruntergeladen wurden. Eine weitere Schadsoftware ist der Goland-Datendieb, der von Bitbucket heruntergeladen werden kann. Er dient dazu, sensible Daten von Discord, verschiedenen Browsern, Krypto-Walletsund Spieleplattformen zu stehlen.
Check Point gab außerdemdent, eine weitere Schadsoftware-Kampagne desselben Angreifers identifiziert zu haben, bei der der Loader als modifizierte Version eines Hack-Tools zum Entsperren raubkopierter Ham-Dateien verbreitet wurde. Laut Bericht wurde das Programm 350 Mal auf Bitbucket heruntergeladen. Die Opfer dieser Kampagnen befinden sich hauptsächlich in den USA, Frankreich, der Slowakei, den Niederlanden, Österreich, Vietnam und Großbritannien.
Die Ergebnisse zeigen ein weiteres Beispiel dafür, wie Cyberkriminelle die Plattform ins Visier genommen haben. „Diese Kampagne verdeutlicht, wie eine subtile Funktion des Discord-Einladungssystems – die Möglichkeit, abgelaufene oder gelöschte Einladungscodes in personalisierten Einladungslinks wiederzuverwenden – als wirkungsvoller Angriffsvektor ausgenutzt werden kann“, so die Forscher. „Indem sie legitime Einladungslinks kapern, leiten Angreifer ahnungslose Nutzer unbemerkt auf manipulierte Discord-Server um.“
