스마트폰 화면에 나타난 디스코드 앱 아이콘. 2021년 4월 15일 이반 라딕 촬영. 출처: 플리커디스코드 초대 링크를 통해 암호화폐 사용자들을 표적으로 삼는 새로운 악성코드 캠페인이 발견되었습니다. 정보에 따르면, 이 새로운 악성코드는 디스코드 초대 시스템의 취약점을 악용하여 Skuld라는 정보 탈취 악성코드와 AsyncRAT 원격 접속 트로이목마를 유포합니다.
체크포인트의 보고서에 따르면, 공격자들은 맞춤형 링크 등록을 통해 링크를 탈취하여 신뢰할 수 있는 출처의 사용자를 악성 서버로 쉽게 리디렉션할 수 있다고 합니다.
체크포인트는 "공격자들은 클릭픽스 피싱 기법, 다단계 로더, 시간 기반 회피 기법을 결합하여 암호화폐 지갑을 표적으로 하는 AsyncRAT과 맞춤형 Skuld Stealer를 은밀하게 유포했다"고 밝혔습니다.
해당 플랫폼에 따르면, 디스코드의 초대 메커니즘은 공격자가 만료되거나 삭제된 초대 링크를 탈취하여 아무것도 모르는 사용자를 자신들이 장악한 악성 서버로 몰래 연결하는 데 악용될 수 있습니다. 즉, 소셜 미디어 및 기타 포럼에서 합법적인 목적으로 공유되었던 디스코드 초대 링크가 사용자를 악성 서버 및 플랫폼으로 유도하는 데 사용될 수 있다는 뜻입니다.
악의적인 목적으로 디스코드 초대 링크가 탈취되었습니다
이번 사건은 사이버 보안 업체가 공개한 . 악의적인 공격자들은 결국 해당 플랫폼을 이용하여 사용자의 디지털 지갑에 불법적으로 접근하고, 연결을 시도한 후 지갑에서 돈을 빼돌렸습니다.
에서는 사용자가 임시, 영구 또는 사용자 지정 초대 링크를 생성할 수 있지만, 코드 다른 정식 서버에서 만료되거나 삭제된 초대 링크를 다시 가져오는 것은 허용되지 않습니다. 그러나 사용자가 사용자 지정 링크를 생성한 경우, 만료된 초대 코드는 물론 경우에 따라 삭제된 영구 초대 코드까지도 재사용할 수 있습니다.
만료되거나 삭제된 코드를 재사용하여 맞춤형 초대 링크를 생성할 수 있는 이 기능은 범죄자들이 악용할 수 있는 빌미를 제공하며, 대부분의 범죄자들은 이를 악성 서버에 사용합니다. 체크포인트는 "이는 심각한 위험을 초래합니다. 이전에 신뢰했던 초대 링크(예: 웹사이트, 블로그 또는 포럼)를 따라 접속한 사용자는 자신도 모르게 악의적인 공격자가 만든 가짜 디스코드 서버로 연결될 수 있습니다."라고 밝혔습니다.
보고서에 따르면, 디스코드 초대 링크 탈취는 커뮤니티에서 공유하는 합법적인 초대 링크를 이용해 사용자를 악성 서버로 리디렉션하는 수법입니다. 이 수법의 피해자들은 서버 접근 권한을 얻기 위해 여러 정보를 입력하는 인증 절차를 완료하라는 요구를 받습니다. 이는 봇을 통해 이루어지는데, 이 봇은 사용자를 가짜 웹사이트로 유도하여 제공한 정보를 인증하도록 요구합니다. 이후 사기꾼들은 사회공학적 기법을 사용하여 사용자를 속여 시스템을 감염시킵니다.
악의적인 공격자가 멀웨어를 이용해 지갑 시드 구문을 탈취합니다
보고서에 따르면, Skuld 악성코드는 Exodus 및 Atomic 암호화폐 지갑에서 시드 구문을 수집할 수 있습니다. 이 악성코드는 지갑 삽입이라는 방식을 사용하여 원래 애플리케이션 파일을 GitHub에서 다운로드한 트로이목마가 포함된 버전으로 교체합니다. 또 다른 페이로드는 Bitbucket에서 다운로드할 수 있는 Goland 정보 탈취 악성코드입니다. 이 악성코드는 Discord, 다양한 브라우저, 암호화폐 지갑및 게임 플랫폼에서 민감한 데이터를 훔치는 데 사용됩니다.
체크포인트는 동일한 공격자가 불법 복제된 게임 파일을 해제하는 해킹 도구의 변형 버전으로 위장한 로더를 배포하는 또 다른 악성 캠페인을 벌이고 있는 것을dent밝혔습니다. 보고서에 따르면 이 프로그램은 비트버킷에서 350회 다운로드되었습니다. 이러한 캠페인의 피해자는 주로 미국, 프랑스, 슬로바키아, 네덜란드, 오스트리아, 베트남, 영국에 거주하고 있습니다.
이번 연구 결과는 사이버 범죄자들이 디스코드 플랫폼을 어떻게 공격하고 있는지 보여주는 최신 사례입니다. 연구진은 "이번 공격은 디스코드 초대 시스템의 미묘한 특징, 즉 만료되거나 삭제된 초대 코드를 맞춤 초대 링크에 재사용할 수 있는 기능을 강력한 공격 수단으로 악용하는 방법을 보여줍니다."라고 밝혔습니다. "공격자들은 합법적인 초대 링크를 탈취하여 사용자들을 몰래 악성 디스코드 서버로 리디렉션합니다."
