Korzystasz z Discorda? Uważaj, igrasz z losem

Hakerzy wykorzystują lukę w systemie zaproszeń Discorda, aby przejmować wygasłe lub usunięte linki z zaproszeniami. W ten sposób przekierowują użytkowników na złośliwe strony, które zawierają szkodliwe oprogramowanie. Kampania ta skutecznie omija wiele programów antywirusowych.

Groźne zaproszenia Discord

Zwykłe linki zaproszeń Discord są zazwyczaj losowe. Jednak hakerzy odkryli, że niestandardowe kody zaproszeń (dostępne dla serwerów "poziomu 3") stają się ponownie dostępne, gdy serwer traci swój status "boost". Podobnie dzieje się z wygasłymi zaproszeniami tymczasowymi lub usuniętymi linkami stałymi. Badacze z Check Point ujawnili, że mechanizm Discorda pozwala na ponowne wykorzystanie tych kodów, Co więcej, różnice w wielkości liter w kodach mogą sprawić, że ten sam kod będzie jednocześnie ważny dla dwóch różnych serwerów.

Atakujący monitorują przejęte zaproszenia i kierują użytkowników do złośliwych serwerów Discord. Na takim serwerze ofiara widzi tylko kanał #verify, a bot prosi o przejście procesu weryfikacji. Próba ta prowadzi do ataku "ClickFix", gdzie użytkownik jest przekierowywany na fałszywą stronę imitującą Discorda, która udaje błąd CAPTCHA.

Użytkownicy są oszukiwani, by otworzyć okno "Uruchom" w Windowsie i wkleić polecenie PowerShell, które wcześniej skopiowali do schowka. Finalne złośliwe oprogramowanie pobierane jest z usługi Bitbucket i obejmuje:

• AsyncRAT: Trojana zdalnego dostępu z funkcjami kradzieży plików, keyloggingu i dostępu do kamery/mikrofonu.
• Skuld Stealer: Kradnie dane uwierzytelniające z przeglądarek, pliki cookie, tokeny Discorda i dane portfeli kryptowalut.
• ChromeKatz: Narzędzie do kradzieży plików cookie i haseł.