スマートフォン画面上のDiscordアプリアイコン。2021年4月15日、Ivan Radic撮影。出典:FlickrDiscordの招待リンクを介して暗号通貨ユーザーを狙う新たなマルウェア攻撃が発覚しました。情報によると、この新たなマルウェアはDiscordの招待システムの脆弱性を悪用し、「Skuld」と呼ばれる情報窃取型マルウェアと、リモートアクセス型トロイの木馬「AsyncRAT」を拡散させるとのことです。.
チェック・ポイントの報告書では、攻撃者がバニティ・リンク登録を通じてリンクを乗っ取り、信頼できるソースから悪意のあるサーバーにユーザーを簡単にリダイレクトできるとプラットフォームは指摘している。.
チェック・ポイントは、「攻撃者は、ClickFixフィッシング手法、多段階ローダー、時間ベースの回避策を組み合わせ、AsyncRATと、暗号通貨ウォレットを狙ったカスタマイズされたSkuld Stealerを密かに配信した」と述べた。.
同プラットフォームによると、Discordの招待メカニズムの悪用方法の一つとして、攻撃者が期限切れまたは削除された招待リンクを乗っ取り、無防備なユーザーを自らの管理下にある悪意のあるサーバーに密かにリダイレクトできることが挙げられます。つまり、以前はソーシャルメディアやその他のフォーラムで正当な目的で共有されていたDiscordの招待リンクが、ユーザーを悪意のあるサーバーやプラットフォームに誘導するために悪用される可能性があるということです。.
Discordの招待リンクが悪意ある目的で乗っ取られる
この事態は、サイバーセキュリティ企業が、期限切れのカスタムリンクを悪用してユーザーをDiscordサーバーに誘導し、所有権を確認するためにフィッシングサイトへアクセスさせるという、巧妙なフィッシングキャンペーンを明らかに して からわずか1ヶ月余り後のことである。悪意のある攻撃者は最終的にこのプラットフォームを利用してユーザーのデジタルウォレットに不正アクセスし、ウォレットを接続した後に資金を抜き取った。
Discordでは、ユーザーは一時的、永続的、またはカスタムの招待リンクを作成できますが、 プラットフォームで は、他の正当なサーバーが期限切れまたは削除された招待リンクを再利用することを許可していません。ただし、ユーザーがカスタムリンクを作成した場合、期限切れの招待コード、さらには場合によっては削除された永続的な招待コードも再利用できます。
期限切れまたは削除されたコードを再利用して、カスタムの招待リンクを作成できるこの機能は、犯罪者に悪用される可能性があり、その多くは悪意のあるサーバーに利用されています。「これは深刻なリスクを生み出します。ウェブサイト、ブログ、フォーラムなどで以前に信頼していた招待リンクをクリックしたユーザーは、知らないうちに脅威アクターが作成した偽のDiscordサーバーにリダイレクトされる可能性があります」とCheck Pointは述べています。.
報告書によると、Discord招待リンクハイジャックは、コミュニティが共有する正規の招待リンクを悪用し、ユーザーを悪意のあるサーバーにリダイレクトするものです。この手口の被害者は、サーバーへの完全なアクセス権を得るためにいくつかの詳細情報を入力する認証スタンプの記入を求められます。これはボットを承認することで行われ、偽のウェブサイトに誘導され、そこで提供された情報の確認が義務付けられます。その後、詐欺師はソーシャルエンジニアリングの手法を用いてユーザーを騙し、システムに感染させます。.
悪意のある人物がマルウェアを使ってウォレットのシードフレーズを盗む
報告書によると、Skuldマルウェアは、ExodusとAtomicの仮想通貨ウォレットから仮想通貨ウォレットのシードフレーズを収集する能力を持っています。この活動はウォレットインジェクションと呼ばれる手法を用いて実行され、元のアプリケーションファイルをGitHubからダウンロードしたトロイの木馬が埋め込まれたバージョンに置き換えます。もう一つのペイロードは、BitbucketからダウンロードできるGoland情報窃取マルウェアです。これは、Discord、様々なブラウザ、 仮想通貨ウォレット、ゲームプラットフォームから機密データを窃取するために使用されます。
チェック・ポイントは、同じ脅威アクターが別の悪意あるキャンペーンを実行していることもdentしたと付け加えた。このキャンペーンでは、海賊版ハムのロックを解除するためのハッキングツールの改変版としてローダーが配布されていた。報告によると、このプログラムはBitbucketで350回ダウンロードされている。これらのキャンペーンの被害者は、主に米国、フランス、スロバキア、オランダ、オーストリア、ベトナム、英国に居住している。.
この調査結果は、サイバー犯罪者がこのプラットフォームをどのように標的にしてきたかを示す最新の事例を示しています。「このキャンペーンは、Discordの招待システムの巧妙な機能、つまり期限切れまたは削除された招待コードをバニティ招待リンクで再利用できる機能が、強力な攻撃ベクトルとして悪用される可能性を示しています」と研究者らは述べています。「正規の招待リンクを乗っ取ることで、脅威アクターは無防備なユーザーを悪意のあるDiscordサーバーに密かにリダイレクトします。」
