Хакери са открили начин да превземат изтрити и изтекли покани за сървъри на Discord и да ги използват за разпространение на зловреден софтуер сред потребители. Кампанията, засечена и анализирана от специалистите на Check Point, показва сериозна уязвимост при механизма на поканите на платформата.

Как работи атаката?

Discord позволява сървърите да създават покани с уникален код. Тези покани могат да бъдат с временна валидност, с персонализиран URL при сървъри с платено „level 3“ ниво, или да са перманентни. В дадени ситуации, когато поканите изтекат, бъдат изтрити, или сървър загуби платения си статус, старият покана-код остава „освободен“ и може да бъде превзет за нов сървър.

Специалистите на Check Point установяват, че това позволява на атакуващите да създават легитимно звучаща покана, с която да насочат потребители към свой сървър, съществувал преди това с друго предназначение. В резултат поканите могат да съществуват на платформи на трети лица, форуми и стари публикации, като по този начин достигат до широк кръг потенциални жертви.

Механизъм на атаките

След като потребителите бъдат поканени на зловредния сървър, той показва канал с име #verify. Там бот изисква потвърждение на самоличността чрез стартиране на „ClickFix“ процедура. В действителност това представлява вредно действие — потребителите са насочвани да копират PowerShell команда и да я изпълнят на собствения си компютър.

По този начин стартира изтеглянето на множество вредни компоненти:

• AsyncRAT (AClient.exe) — позволява на атакуващия да изпълнява дистанционни команди, да събира файлове и да записва действия на потребителя.

• Skuld Stealer (skul.exe) — събира пароли, криптовалутни портфейли и сесии на браузъри, включително токени на Discord.

• ChromeKatz (cks.exe) — персонализирано приложение с функция да изземва съхранени пароли и „бисквитки“ на браузъри.

Допълнително, задача, създадена с Windows Task Scheduler, стартира вредителя на всяки 5 минути, за да гарантира устойчивост на инфекцията.

Как да се предпазите?

• Не се доверявайте на покани с изтекъл срок на валидност, особено ако са публикувани преди месеци.

• Не изпълнявайте PowerShell команди, копирани от съмнителни сървъри, съобщения или уебсайтове.

• Не потвърждавайте самоличността си чрез съмнителни „verify“ канали.

• Администраторите на сървъри трябва да преминат към перманентни покани с уникален URL, за да избегнат превземането на старите покани.

Заключение

Новият метод показва колко изобретателни могат да бъдат киберпрестъпниците, когато използват легитимната инфраструктура на платформи като Discord с цел разпространение на зловреден софтуер. Атаките съчетават технически недостатъци с методите на социално инженерство, за да събират чувствителни данни и да компрометират устройства на потребители.