Una nuova campagna di malware sta sfruttando una debolezza del sistema di invito di Discord a fornire un furto di informazioni chiamato Skuld e il Asyncrat Accesso remoto Trojan.
“Gli aggressori hanno dirottato i collegamenti attraverso la registrazione dei collegamenti di vanità, consentendo loro di reindirizzare silenziosamente gli utenti da fonti di fiducia a server dannosi”, verify Level disse in un rapporto tecnico. “Gli aggressori hanno combinato la tecnica di phishing ClickFix, i caricatori a più stadi ed evasioni basate sul tempo per fornire furtivamente Asyncrat e uno skuld di Skuld personalizzato mira a portafogli di criptovalute.”
Il problema con il meccanismo di invito di Discord è che consente agli aggressori di dirottare i collegamenti di invito scaduti o eliminati e reindirizza segretamente gli utenti ignari a server dannosi sotto il loro controllo. Ciò significa anche che un hyperlink a invito a discordia che una volta period fidata e condivisa su discussion board o piattaforme di social media potrebbe inarrestamente portare gli utenti a siti dannosi.
I dettagli della campagna arrivano poco più di un mese dopo la società di sicurezza informatica rivelato Un’altra sofisticata campagna di phishing che ha dirottato la vanità scaduta invita i collegamenti per attirare gli utenti a far parte di un server discord e istruire loro a visitare un sito di phishing per verificare la proprietà, solo per far svuotare le loro risorse digitali al collegamento dei loro portafogli.
Mentre gli utenti possono creare temporanei, permanenti o costume (Vainness) Invita collegamenti a Discord, la piattaforma impedisce advert altri server legittimi di recuperare un invito precedentemente scaduto o eliminato. Tuttavia, Management Level ha scoperto che la creazione di collegamenti di invito personalizzati consente il riutilizzo dei codici di invito scaduti e persino i codici di invito permanenti eliminati in alcuni casi.
Questa capacità di riutilizzare i codici scaduti o eliminati durante la creazione di collegamenti di invito di vanità personalizzati apre la porta all’abuso, consentendo agli aggressori di rivendicarlo per il loro server dannoso.
“Ciò crea un rischio serio: gli utenti che seguono collegamenti di invito in precedenza fidati (advert esempio su siti Internet, weblog o discussion board) possono essere inconsapevolmente reindirizzati a server di discordia falsi creati dagli attori delle minacce”, ha affermato Management Level.
Il dirottamento di Discord Invite-Hyperlink, in breve, prevede l’assunzione di controllo dei collegamenti di invito originariamente condivisi da comunità legittime e quindi utilizzarli per reindirizzare gli utenti al server dannoso. Gli utenti che cadono in preda allo schema e si uniscono al server sono invitati a completare una fase di verifica per ottenere l’accesso completo al server autorizzando un bot, che li porta quindi a un falso sito Internet con un pulsante di “verifica” di spicco.
È qui che gli aggressori portano l’attacco al livello successivo incorporando il famigerato ClickFix Tattica di ingegneria sociale per indurre gli utenti a infettare i propri sistemi sotto il pretesto della verifica.
In particolare, facendo clic sul pulsante “Verifica” esegue JavaScript che copia un comando PowerShell agli appunti della macchina, dopo di che gli utenti sono invitati a avviare la finestra di dialogo Home windows Esegui, incollare la stringa di verifica già copiata “(cioè il comando Powerhell), e premere Invio per autenticare i loro account.
Ma in realtà, l’esecuzione di questi passaggi innesca il obtain di uno script PowerShell ospitato su Pastebin che successivamente recupera ed esegue un downloader di primo stadio, che alla tremendous viene utilizzato per far cadere Asyncrat e Skuld Stealer da un server remoto ed eseguirli.
Al centro di questo attacco si trova un processo di infezione a più stadi meticolosamente progettato per precisione e invisibile, prendendo anche provvedimenti per sovvertire le protezioni di sicurezza attraverso i controlli di sicurezza Sandbox.
È stato scoperto che Asyncrat, che offre capacità full di controllo remoto rispetto ai sistemi infetti, utilizza una tecnica chiamata Resolver di caduta morto Per accedere al server di comando e controllo effettivo (C2) leggendo un file Pastebin.
L’altro payload è un furto di informazioni su Golang che viene scaricato da Bitbucket. È attrezzato per rubare dati utente sensibili da discordia, vari browser, portafogli cripto e piattaforme di gioco.
Skuld è anche in grado di raccogliere frasi e password di semi di portafoglio di criptovalute dall’Esodo e dai portafogli di criptovalute atomiche. Ha realizzato questo usando un approccio chiamato iniezione di portafoglio che sostituisce i file di applicazione legittimi con versioni trojanizzate scaricate da GitHub. Vale la pena notare che una tecnica simile è stata recentemente utilizzata da un pacchetto NPM canaglia chiamato PDF-to-office.
L’attacco impiega anche una versione personalizzata di uno strumento open supply noto come Chromekatz Bypassare le protezioni di crittografia legate all’app di Chrome. I dati raccolti sono esfiltrati ai miscredenti tramite un webhook Discord.
Il fatto che la consegna del payload e l’esfiltrazione dei dati si verifichino tramite servizi cloud di fiducia come GitHub, Bitbucket, Pastebin e Discord consente agli attori delle minacce di fondersi con il traffico normale e volare sotto il radar. Discord da allora ha disabilitato il bot dannoso, rompendo efficacemente la catena di attacco.
Test Level ha affermato di aver anche identificato un’altra campagna montata dallo stesso attore di minaccia che distribuisce il caricatore come versione modificata di un hacktool per sbloccare i giochi piratati. Il programma dannoso, ospitato anche su Bitbucket, è stato scaricato 350 volte.
È stato valutato che le vittime di queste campagne si trovano principalmente negli Stati Uniti, in Vietnam, Francia, Germania, Slovacchia, Austria, Paesi Bassi e Regno Unito.
I risultati rappresentano l’ultimo esempio di come i criminali informatici stanno prendendo di mira la popolare piattaforma sociale, che ha avuto la sua rete di consegna dei contenuti (CDN) abusato A Ospita malware in passato.
“Questa campagna illustra come una caratteristica sottile del sistema di invito di Discord, la capacità di riutilizzare i codici di invito scaduti o eliminati nei collegamenti di invito di vanità, possa essere sfruttata come un potente vettore di attacco”, hanno affermato i ricercatori. “Dirottando i legami di invito legittimi, gli attori delle minacce reindirizzano silenziosamente gli utenti ignari a server discordici dannosi.”
“La scelta dei carichi utili, incluso un potente furto di concentrating on specifico per i portafogli di criptovaluta, suggerisce che gli aggressori si concentrano principalmente sugli utenti di criptovalute e motivati da guadagno finanziario”.
