Un lien d'invitation Discord est utilisé pour diffuser un logiciel malveillant ciblant les portefeuilles de cryptomonnaies

Une nouvelle campagne de logiciels malveillants ciblant les utilisateurs de cryptomonnaies via des liens d'invitation Discord a été découverte. D'après les informations recueillies, ce nouveau logiciel malveillant exploite une faille du système d'invitation de Discord pour diffuser un voleur de données nommé Skuld et le cheval de Troie d'accès à distance AsyncRAT.

Dans un rapport de Check Point, la plateforme indique que les attaquants détournent les liens via l'enregistrement de liens personnalisés, ce qui leur permet de rediriger facilement les utilisateurs de sources fiables vers des serveurs malveillants.

« Les attaquants ont combiné la technique d'hameçonnage ClickFix, des chargeurs multi-étapes et des techniques d'évasion temporelles pour déployer furtivement AsyncRAT et un Skuld Stealer personnalisé ciblant les portefeuilles de cryptomonnaies », a déclaré Check Point.

D'après la plateforme, le système d'invitation de Discord permet notamment aux attaquants de détourner les liens d'invitation expirés ou supprimés et de rediriger secrètement des utilisateurs non avertis vers différents serveurs malveillants qu'ils contrôlent. Ainsi, un lien d'invitation Discord, partagé initialement à des fins légitimes sur les réseaux sociaux et autres forums, peut être utilisé pour mener des utilisateurs vers leurs serveurs et plateformes malveillants.

Lien d'invitation Discord détourné à des fins malveillantes

Cette information survient un peu plus d'un mois après que la société de cybersécurité a révélé une autre campagne de phishing sophistiquée. Cette campagne consistait à détourner des liens personnalisés expirés pour inciter les utilisateurs à rejoindre un serveur Discord, en les incitant à visiter un site frauduleux pour vérifier leur identité. Les pirates ont ensuite utilisé la plateforme pour accéder illégalement aux portefeuilles numériques des utilisateurs et les vider après les avoir connectés.

Bien que les utilisateurs puissent créer des liens d'invitation temporaires, permanents ou personnalisés sur Discord, la plateforme n'autorise pas les autres serveurs légitimes à récupérer un lien d'invitation expiré ou supprimé. Cependant, si un utilisateur crée un lien personnalisé, il peut réutiliser les codes d'invitation expirés et même, dans certains cas, certains codes d'invitation permanents supprimés.

Cette possibilité de réutiliser des codes expirés ou supprimés lors de la création de liens d'invitation personnalisés permet aux criminels d'en abuser, la plupart d'entre eux les revendiquant pour leurs serveurs malveillants. « Cela crée un risque sérieux : les utilisateurs qui cliquent sur des liens d'invitation auparavant considérés comme fiables (par exemple, sur des sites web, des blogs ou des forums) peuvent être redirigés à leur insu vers de faux serveurs Discord créés par des acteurs malveillants », a déclaré Check Point.

D'après le rapport, le détournement de liens d'invitation Discord consiste à utiliser un lien d'invitation légitime partagé par les communautés pour rediriger les utilisateurs vers un serveur malveillant. Les victimes sont invitées à effectuer une vérification, qui implique la saisie de plusieurs informations pour obtenir un accès complet au serveur. Cette vérification est réalisée par l'autorisation d'un bot, qui les conduit vers un faux site web où elles sont invitées à vérifier les informations fournies. Ensuite, les escrocs utilisent une technique d'ingénierie sociale pour inciter les utilisateurs à infecter leurs systèmes.

Des acteurs malveillants volent les phrases de récupération des portefeuilles électroniques à l'aide de logiciels malveillants

D'après le rapport, le malware Skuld est capable de récupérer les phrases de récupération des portefeuilles crypto Exodus et Atomic. Il procède par injection de portefeuille, remplaçant les fichiers originaux par des versions contenant des chevaux de Troie téléchargés depuis GitHub. Une autre charge utile est un voleur d'informations Goland, téléchargeable depuis Bitbucket. Ce logiciel malveillant est utilisé pour dérober des données sensibles sur Discord, divers navigateurs, portefeuilles cryptoet plateformes de jeux.

Check Point a ajouté avoir égalementdentune autre campagne malveillante menée par le même acteur malveillant, qui distribuait le programme d'installation comme une version modifiée d'un outil de piratage permettant de déverrouiller des appareils piratés. Selon le rapport, le programme a été téléchargé 350 fois sur Bitbucket. Les victimes de ces campagnes se trouvent principalement aux États-Unis, en France, en Slovaquie, aux Pays-Bas, en Autriche, au Vietnam et au Royaume-Uni.

Ces découvertes constituent un nouvel exemple de la manière dont les cybercriminels ciblent la plateforme. « Cette campagne illustre comment une fonctionnalité subtile du système d'invitations de Discord, la possibilité de réutiliser des codes d'invitation expirés ou supprimés dans des liens d'invitation personnalisés, peut être exploitée comme un vecteur d'attaque puissant », ont déclaré les chercheurs. « En détournant des liens d'invitation légitimes, les acteurs malveillants redirigent discrètement des utilisateurs non avertis vers des serveurs Discord malveillants. »