Значок приложения Discord на экране смартфона. Снимок сделан 15 апреля 2021 года Иваном Радичем. Источник: FlickrОбнаружена новая кампания вредоносного ПО, нацеленная на пользователей криптовалют через ссылки-приглашения в Discord. Согласно имеющейся информации, новое вредоносное ПО использует уязвимость в системе приглашений Discord для распространения программы-похитителя информации, известной как Skuld, и трояна удаленного доступа AsyncRAT.
В отчете Check Point платформа упомянула, что злоумышленники перехватывают ссылки посредством регистрации «красивых» ссылок, что позволяет им легко перенаправлять пользователей из надежных источников на вредоносные серверы.
«Злоумышленники объединили фишинговую технику ClickFix, многоступенчатые загрузчики и методы обхода защиты, основанные на временных параметрах, чтобы незаметно внедрить AsyncRAT и модифицированный Skuld Stealer, нацеленный на криптовалютные кошельки», — заявили в Check Point.
Согласно информации от платформы, одним из способов использования механизма приглашений Discord является возможность для злоумышленников перехватывать просроченные или удаленные ссылки-приглашения и тайно перенаправлять ничего не подозревающих пользователей на различные вредоносные серверы, находящиеся под их контролем. Это означает, что ссылка-приглашение Discord, ранее распространенная в социальных сетях и на других форумах в законных целях, может быть использована для перенаправления пользователей на вредоносные серверы и платформы.
Ссылка-приглашение в Discord была взломана в злонамеренных целях
Это произошло чуть более чем через месяц после того, как компания, занимающаяся кибербезопасностью, раскрыла еще одну изощренную фишинговую кампанию, в ходе которой были использованы просроченные персонализированные ссылки, чтобы заманить пользователей на сервер Discord, предложив им перейти на фишинговый сайт для подтверждения права собственности. Злоумышленники в конечном итоге использовали платформу для получения незаконного доступа к цифровым кошелькам пользователей и опустошения их средств после подключения.
Хотя пользователям разрешено создавать временные, постоянные или пользовательские ссылки-приглашения в Discord, платформа не позволяет другим легитимным серверам использовать ранее просроченные или удаленные ссылки-приглашения. Однако, если пользователь создает пользовательскую ссылку, он может повторно использовать просроченные коды-приглашения, а в некоторых случаях даже некоторые удаленные постоянные коды-приглашения.
Возможность повторного использования просроченных или удаленных кодов при создании пользовательских пригласительных ссылок позволяет преступникам злоупотреблять ею, причем большинство из них используют их для своих вредоносных серверов. «Это создает серьезный риск: пользователи, которые переходят по ранее проверенным пригласительным ссылкам (например, на веб-сайтах, в блогах или на форумах), могут неосознанно быть перенаправлены на поддельные серверы Discord, созданные злоумышленниками», — заявили в Check Point.
Согласно отчету, взлом ссылок-приглашений в Discord заключается в использовании легитимной ссылки-приглашения, распространяемой сообществами, для перенаправления пользователей на вредоносный сервер. Жертвам этой схемы предлагается пройти проверку, которая включает в себя ввод нескольких данных для получения полного доступа к серверу. Это делается путем авторизации бота, который перенаправляет их на поддельный веб-сайт, где им предлагается подтвердить предоставленную информацию. После этого мошенники используют методы социальной инженерии, чтобы обманом заставить пользователей заразить их системы.
Злоумышленники крадут сид-фразы кошелька с помощью вредоносного ПО
Согласно отчету, вредоносная программа Skuld способна собирать сид-фразы криптокошельков Exodus и Atomic. Она делает это, используя метод, называемый внедрением в кошелек, заменяя исходную версию файлов приложения версиями, содержащими трояны, загруженные с GitHub. Другой полезной нагрузкой является программа для кражи информации Goland, которую можно загрузить с Bitbucket. Она используется для кражи конфиденциальных данных из Discord, различных браузеров, криптокошелькови игровых платформ.
Компания Check Point добавила, что такжеdentеще одну вредоносную кампанию, проводимую тем же злоумышленником, в рамках которой распространялся загрузчик как модифицированная версия инструмента для взлома пиратских радиостанций. Согласно отчету, программа была загружена 350 раз на Bitbucket. Жертвами этих кампаний в основном являются жители США, Франции, Словакии, Нидерландов, Австрии, Вьетнама и Великобритании.
Результаты исследования демонстрируют последний пример того, как киберпреступники нацелились на эту платформу. «Эта кампания иллюстрирует, как незаметная особенность системы приглашений Discord, возможность повторного использования просроченных или удаленных кодов приглашений в персонализированных ссылках-приглашениях, может быть использована в качестве мощного вектора атаки», — заявили исследователи. «Перехватывая легитимные ссылки-приглашения, злоумышленники незаметно перенаправляют ничего не подозревающих пользователей на вредоносные серверы Discord»
