Icona dell'app Discord sullo schermo dello smartphone. Foto scattata il 15 aprile 2021 da Ivan Radic. Fonte: FlickrÈ stata scoperta una nuova campagna malware che prende di mira gli utenti di criptovalute tramite link di invito su Discord. Secondo le informazioni, il nuovo malware sfrutta una debolezza nel sistema di inviti di Discord per distribuire un ladro di informazioni noto come Skuld e il trojan di accesso remoto AsyncRAT.
In un rapporto di Check Point, la piattaforma ha affermato che gli aggressori dirottano i link tramite la registrazione di link vanitosi, che consente loro di reindirizzare facilmente gli utenti da fonti attendibili a server dannosi.
"Gli aggressori hanno combinato la tecnica di phishing ClickFix, caricatori multi-fase ed evasioni basate sul tempo per diffondere furtivamente AsyncRAT e uno Skuld Stealer personalizzato che prende di mira i portafogli crittografici", ha affermato Check Point.
Secondo la piattaforma, uno degli utilizzi del meccanismo di invito di Discord è consentire agli aggressori di dirottare link di invito scaduti o eliminati e reindirizzare segretamente utenti ignari a diversi server dannosi sotto il loro controllo. Ciò significa che un link di invito di Discord, precedentemente condiviso per scopi legittimi sui social media e altri forum, potrebbe essere utilizzato per indirizzare gli utenti ai loro server e piattaforme dannosi.
Link di invito Discord dirottato per scopi dannosi
Questo sviluppo giunge poco più di un mese dopo che la società di sicurezza informatica ha rivelato un'altra sofisticata campagna di phishing che sfruttava link personalizzati scaduti per indurre gli utenti a unirsi a un server Discord, invitandoli a visitare un sito di phishing per verificarne la proprietà. I malintenzionati hanno poi utilizzato la piattaforma per ottenere illegalmente l'accesso ai portafogli digitali degli utenti e svuotarli dopo averli collegati.
Sebbene gli utenti possano creare link di invito temporanei, permanenti o personalizzati su Discord, la piattaforma non consente ad altri server legittimi di recuperare un link di invito precedentemente scaduto o eliminato. Tuttavia, se un utente crea un link personalizzato, può riutilizzare i codici di invito scaduti e, in alcuni casi, persino alcuni codici di invito permanenti eliminati.
Questa capacità di riutilizzare codici scaduti o eliminati durante la creazione di link di invito personalizzati consente ai criminali di abusarne, rivendicandoli per i propri server dannosi. "Questo crea un rischio serio: gli utenti che seguono link di invito precedentemente attendibili (ad esempio, su siti web, blog o forum) possono essere inconsapevolmente reindirizzati a falsi server Discord creati dagli autori della minaccia", ha affermato Check Point.
Secondo il rapporto, il dirottamento dei link di invito di Discord consiste nell'utilizzare un link di invito legittimo condiviso dalle community per reindirizzare gli utenti a un server dannoso. Alle vittime di questo schema viene chiesto di compilare un timbro di verifica, che prevede l'inserimento di diversi dati per ottenere l'accesso completo al server. Ciò avviene autorizzando un bot, che li indirizza a un sito web falso dove sono obbligati a verificare le informazioni fornite. Dopodiché, i truffatori utilizzano una tattica di ingegneria sociale per indurre gli utenti a infettare i loro sistemi.
Gli attori malintenzionati rubano frasi seed del portafoglio con malware
Secondo il rapporto, il malware Skuld è in grado di raccogliere frasi seed dai wallet di criptovalute Exodus e Atomic. Svolge questa attività utilizzando un approccio chiamato "wallet injection", sostituendo la versione originale dei file dell'applicazione con versioni caricate con trojan scaricati da GitHub. Un altro payload è un ladro di informazioni Goland, scaricabile da Bitbucket. Viene utilizzato per rubare dati sensibili da Discord, vari browser, wallet di criptovalutee piattaforme di gioco.
Check Point ha aggiunto di averdentanche un'altra campagna dannosa condotta dallo stesso autore della minaccia, che ha distribuito il loader come una versione modificata di uno strumento di hacking per sbloccare i file ham piratati. Il programma, secondo il rapporto, è stato scaricato 350 volte su Bitbucket. Le vittime di queste campagne si trovano principalmente negli Stati Uniti, in Francia, Slovacchia, Paesi Bassi, Austria, Vietnam e Regno Unito.
I risultati mostrano l'ultimo esempio di come i criminali informatici abbiano preso di mira la piattaforma. "Questa campagna illustra come una funzionalità subdola del sistema di inviti di Discord, la possibilità di riutilizzare codici di invito scaduti o eliminati in link di invito personalizzati, possa essere sfruttata come potente vettore di attacco", hanno affermato i ricercatori. "Dirottando link di invito legittimi, gli autori delle minacce reindirizzano silenziosamente utenti ignari a server Discord dannosi"
