Cyberprzestępcy znaleźli nowy sposób na atakowanie użytkowników Discorda. Wykorzystują lukę w systemie zaproszeń, by kierować niczego nieświadome osoby na złośliwe serwery, gdzie ich dane są kradzione. Cała kampania została opisana przez ekspertów z firmy Check Point.
Problem dotyczy tzw. vanity linków – to niestandardowe zaproszenia tworzone przez właścicieli serwerów Discorda. Gdy takie zaproszenie wygaśnie lub zostanie usunięte, może zostać ponownie wykorzystane przez kogoś innego. Przestępcy rejestrują je na swoich serwerach, przez co stare linki zaczynają prowadzić do fałszywych stron. Takie odnośniki mogą nadal krążyć na forach, blogach czy w mediach społecznościowych.
Użytkownicy Discroda na celowniku cyberprzestępców
Po kliknięciu w takie zaproszenie użytkownik trafia na serwer, który wygląda jak każdy inny. Tam proszony jest o „weryfikację”, aby uzyskać pełen dostęp. Kliknięcie przycisku Verify uruchamia złośliwy kod, który najpierw kopiuje polecenie PowerShell do schowka komputera, a następnie instruuje użytkownika, by wkleił je w systemowym oknie Uruchom i zatwierdził. To odpala skrypt, który pobiera oraz instaluje złośliwe oprogramowanie.
Cyberprzestępcy znaleźli nowy sposób na atakowanie użytkowników Discorda. Wykorzystują lukę w systemie zaproszeń, by kierować niczego nieświadome osoby na złośliwe serwery, gdzie ich dane są kradzione.
W tym przypadku są to dwa groźne narzędzia. Pierwsze z nich to AsyncRAT, który zapewnia cyberprzestępcom zdalny dostęp do komputera ofiary. Drugie to Skuld Stealer – program stworzony do kradzieży danych, w tym haseł, danych przeglądarek oraz zawartości portfeli kryptowalutowych. Skuld potrafi nawet podmieniać pliki znanych aplikacji, by wyłudzać frazy odzyskiwania i hasła.
Cyberprzestępcy wykorzystują legalne platformy, takie jak Discord, GitHub, Bitbucket czy Pastebin, aby nie wzbudzać podejrzeń. Złośliwe pliki mogą być przechowywane i pobierane właśnie z tych popularnych platform. To sprawia, że cały proces wygląda na legalny i jest trudniejszy do wykrycia.
Discord zablokował już bota, który odpowiadał za część ataku, ale problem nadal istnieje. Opisana kampania nie jest pierwszą tego typu – wcześniej ten sam mechanizm wykorzystywano m.in. do kradzieży kryptowalut poprzez fałszywe strony „weryfikujące” portfele.
Ofiarami tych działań najczęściej padają osoby z USA, Europy i Azji. Ataki są też kierowane do osób szukających pirackich wersji gier, w tym przypadku złośliwe pliki podszywają się pod cracki.
Pokaż / Dodaj komentarze do: Discord poważnie zagrożony. To nie są żarty