Icono de la app Discord en la pantalla del smartphone. Foto tomada el 15 de abril de 2021 por Ivan Radic. Fuente: FlickrSe ha descubierto una nueva campaña de malware dirigida a usuarios de criptomonedas mediante enlaces de invitación de Discord. Según la información, el nuevo malware aprovecha una vulnerabilidad en el sistema de invitación de Discord para distribuir un ladrón de información conocido como Skuld y el troyano de acceso remoto AsyncRAT.
En un informe de Check Point, la plataforma mencionó que los atacantes secuestran los enlaces a través del registro de enlaces vanidosos, lo que les permite redirigir fácilmente a los usuarios desde fuentes confiables a servidores maliciosos.
“Los atacantes combinaron la técnica de phishing ClickFix, cargadores de múltiples etapas y evasiones basadas en el tiempo para entregar sigilosamente AsyncRAT y un Skuld Stealer personalizado dirigido a billeteras de criptomonedas”, dijo Check Point.
Según la plataforma, uno de los usos del mecanismo de invitación de Discord es que permite a los atacantes secuestrar enlaces de invitación caducados o eliminados y redirigir en secreto a usuarios desprevenidos a diferentes servidores maliciosos bajo su control. Esto significa que un enlace de invitación de Discord, previamente compartido con un propósito legítimo en redes sociales y otros foros, podría usarse para dirigir a los usuarios a sus servidores y plataformas maliciosos.
Enlace de invitación de Discord pirateado con fines maliciosos
Este desarrollo se produce poco más de un mes después de que la empresa de ciberseguridad revelara otra sofisticada campaña de phishing que secuestraba enlaces vanidosos caducados para incitar a los usuarios a unirse a un servidor de Discord, indicándoles que visitaran un sitio de phishing para verificar su propiedad. Los actores maliciosos finalmente utilizaron la plataforma para obtener acceso ilegal a las billeteras digitales de los usuarios y vaciar sus fondos tras conectarlos.
Si bien los usuarios pueden crear enlaces de invitación temporales, permanentes o personalizados en Discord, la plataforma no permite que otros servidores legítimos recuperen un enlace de invitación caducado o eliminado. Sin embargo, si un usuario crea un enlace personalizado, puede reutilizar los códigos de invitación caducados e incluso algunos códigos de invitación permanentes eliminados en algunos casos.
Esta capacidad de reutilizar códigos caducados o eliminados al crear enlaces de invitación personalizados permite a los delincuentes abusar de ella, y la mayoría los utilizan para sus servidores maliciosos. "Esto crea un grave riesgo: los usuarios que siguen enlaces de invitación previamente confiables (por ejemplo, en sitios web, blogs o foros) pueden ser redirigidos sin saberlo a servidores falsos de Discord creados por actores maliciosos", declaró Check Point.
Según el informe, el secuestro de enlaces de invitación de Discord implica el uso de un enlace de invitación legítimo compartido por las comunidades para redirigir a los usuarios a un servidor malicioso. A las víctimas de este esquema se les pide que completen un sello de verificación, que consiste en introducir varios datos para obtener acceso completo al servidor. Esto se logra autorizando a un bot, que los dirige a un sitio web falso donde se les exige verificar la información proporcionada. Después, los estafadores utilizan una táctica de ingeniería social para engañar a los usuarios e infectar sus sistemas.
Actores maliciosos roban frases semilla de billetera con malware
Según el informe, el malware Skuld es capaz de extraer frases semilla de las billeteras de criptomonedas Exodus y Atomic. Para ello, utiliza un método llamado inyección de billetera, reemplazando la versión original de los archivos de la aplicación con versiones cargadas con troyanos descargados de GitHub. Otra carga útil es un ladrón de información Goland que puede descargarse de Bitbucket. Se utiliza para robar datos confidenciales de Discord, varios navegadores, billeteras de criptomonedas y plataformas de juegos.
Check Point añadió que tambiéndentotra campaña maliciosa llevada a cabo por el mismo actor de amenazas, donde distribuía el cargador como una versión modificada de una herramienta de hackeo para desbloquear jamones pirateados. El programa, según el informe, ha sido descargado 350 veces en Bitbucket. Las víctimas de estas campañas se encuentran principalmente en Estados Unidos, Francia, Eslovaquia, Países Bajos, Austria, Vietnam y el Reino Unido.
Los hallazgos muestran el ejemplo más reciente de cómo los ciberdelincuentes han estado atacando la plataforma. "Esta campaña ilustra cómo una característica sutil del sistema de invitaciones de Discord, la capacidad de reutilizar códigos de invitación caducados o eliminados en enlaces de invitación personalizados, puede explotarse como un poderoso vector de ataque", afirmaron los investigadores. "Al secuestrar enlaces de invitación legítimos, los cibercriminales redirigen silenciosamente a usuarios desprevenidos a servidores maliciosos de Discord"
