Хакери са открили начин да превземат изтрити и изтекли покани за сървъри на Discord и да ги използват за разпространение на зловреден софтуер сред потребители. Кампанията, засечена и анализирана от специалистите на Check Point, показва сериозна уязвимост при механизма на поканите на платформата.
Discord позволява сървърите да създават покани с уникален код. Тези покани могат да бъдат с временна валидност, с персонализиран URL при сървъри с платено „level 3“ ниво, или да са перманентни. В дадени ситуации, когато поканите изтекат, бъдат изтрити, или сървър загуби платения си статус, старият покана-код остава „освободен“ и може да бъде превзет за нов сървър.
Специалистите на Check Point установяват, че това позволява на атакуващите да създават легитимно звучаща покана, с която да насочат потребители към свой сървър, съществувал преди това с друго предназначение. В резултат поканите могат да съществуват на платформи на трети лица, форуми и стари публикации, като по този начин достигат до широк кръг потенциални жертви.
След като потребителите бъдат поканени на зловредния сървър, той показва канал с име #verify. Там бот изисква потвърждение на самоличността чрез стартиране на „ClickFix“ процедура. В действителност това представлява вредно действие — потребителите са насочвани да копират PowerShell команда и да я изпълнят на собствения си компютър.
По този начин стартира изтеглянето на множество вредни компоненти:
AsyncRAT (AClient.exe) — позволява на атакуващия да изпълнява дистанционни команди, да събира файлове и да записва действия на потребителя.
Skuld Stealer (skul.exe) — събира пароли, криптовалутни портфейли и сесии на браузъри, включително токени на Discord.
ChromeKatz (cks.exe) — персонализирано приложение с функция да изземва съхранени пароли и „бисквитки“ на браузъри.
Допълнително, задача, създадена с Windows Task Scheduler, стартира вредителя на всяки 5 минути, за да гарантира устойчивост на инфекцията.
Не се доверявайте на покани с изтекъл срок на валидност, особено ако са публикувани преди месеци.
Не изпълнявайте PowerShell команди, копирани от съмнителни сървъри, съобщения или уебсайтове.
Не потвърждавайте самоличността си чрез съмнителни „verify“ канали.
Администраторите на сървъри трябва да преминат към перманентни покани с уникален URL, за да избегнат превземането на старите покани.
Новият метод показва колко изобретателни могат да бъдат киберпрестъпниците, когато използват легитимната инфраструктура на платформи като Discord с цел разпространение на зловреден софтуер. Атаките съчетават технически недостатъци с методите на социално инженерство, за да събират чувствителни данни и да компрометират устройства на потребители.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
