Discord دعوة الرابط Hijacking يسلم سارقات من Asyncrat و Skuld التي تستهدف محافظ التشفير

تقوم حملة برامج ضارة جديدة باستغلال ضعف نظام دعوة Discord لتقديم سرقة معلومات تسمى Skuld و Asyncrat Access Access Trojan.

“قام المهاجمون باختطاف الروابط من خلال تسجيل رابط الغرور ، مما يسمح لهم بإعادة توجيه المستخدمين بصمت من مصادر موثوقة إلى خوادم ضارة” ، قال في تقرير فني. “قام المهاجمون بدمج تقنية التصيد الخزلية ، والوادر متعددة المراحل ، والتفاوات القائمة على الوقت لتسليم غير متزامن ، ومحافظ سارقة مخصصة يستهدف محافظ التشفير.”

تتمثل المشكلة في آلية Discord’s دعوة هي أنها تتيح للمهاجمين اختطاف روابط دعوة منتهية الصلاحية أو حذفها وإعادة توجيه المستخدمين المطمئنين سراً إلى خوادم ضارة تحت سيطرتهم. هذا يعني أيضًا أن Discord يدعو إلى الارتباط الذي تم الوثوق به ومشاركته في المنتديات أو منصات الوسائط الاجتماعية يمكن أن يؤدي عن غير قصد إلى مواقع ضارة.

تأتي تفاصيل الحملة بعد ما يزيد قليلاً عن شهر بعد أن كشفت شركة الأمن السيبراني عن حملة أخرى لتصيد التصيد المتطورة التي تم اختطافها من الصلاحية ، تدعو إلى إغراء المستخدمين على الانضمام إلى خادم Discord وتوجيههم إلى زيارة موقع التصيد للتحقق من الملكية ، فقط لتجديد أصولهم الرقمية عند توصيل محافظهم.

بينما يمكن للمستخدمين إنشاء مؤقت أو دائم أو مخصص (الغرور) دعوة الروابط على Discord ، تمنع المنصة الخوادم المشروعة الأخرى من استعادة دعوة منتهية الصلاحية أو المحذوفة مسبقًا. ومع ذلك ، وجدت Check Point أن إنشاء روابط دعوة مخصصة يتيح إعادة استخدام رموز الدعوة المنتهية الصلاحية وحتى رموز الدعوة الدائمة المحذوفة في بعض الحالات.

هذه القدرة على إعادة استخدام الرموز منتهية الصلاحية أو المحذوفة عند إنشاء روابط مخصصة لدعوة الغرور ، تفتح الباب لإساءة الاستخدام ، مما يسمح للمهاجمين بالمطالبة به لخادمهم الضار.

وقالت Check Point: “هذا يخلق خطرًا خطيرًا: يمكن إعادة توجيه المستخدمين الذين يتبعون روابط الدعوة الموثوقة مسبقًا (على سبيل المثال ، على مواقع الويب أو المدونات أو المنتديات) إلى خوادم خلاف مزيفة أنشأتها ممثلون التهديدات”.

يتضمن اختطاف Discord Invite-Link ، باختصار ، السيطرة على روابط دعوة مشتركة في الأصل من قبل المجتمعات المشروعة ومن ثم استخدامها لإعادة توجيه المستخدمين إلى الخادم الضار. يُطلب من المستخدمين الذين يقعون فريسة في المخطط والانضمام إلى الخادم إكمال خطوة التحقق من أجل الحصول على وصول كامل من الخادم عن طريق التصريح بروبان ، والذي يقودهم إلى موقع ويب مزيف مع زر “التحقق” البارز.

هذا هو المكان الذي ينقل فيه المهاجمون الهجوم إلى المستوى التالي من خلال دمج تكتيك ClickFix الاجتماعي للهندسة الاجتماعية لخداع المستخدمين في إصابة أنظمتهم بحجة التحقق.

على وجه التحديد ، يقوم النقر فوق الزر “التحقق” بشكل خفي على تنفيذ JavaScript الذي يقوم بنسخ أمر PowerShell إلى حافظة الجهاز ، وبعد ذلك يتم حث المستخدمين على تشغيل مربع حوار Windows Run ، والصق “سلسلة التحقق” التي تم نسخها بالفعل (أي أمر PowerShell) ، واضغط على Enter لمصادقة حساباتهم.

ولكن في الواقع ، يؤدي أداء هذه الخطوات إلى تنزيل برنامج PowerShell Script المستضاف على Pastebin والذي يسترجع وتنفيذ تنزيل المرحلة الأولى ، والذي يستخدم في النهاية لإسقاط السارق من Asyncrat و Skuld من خادم بعيد وتنفيذها.

في قلب هذا الهجوم ، تكمن عملية عدوى متعددة المراحل مصممة بشكل دقيق مصممة لكل من الدقة والخفي ، مع اتخاذ خطوات لتخريب الحماية الأمنية من خلال فحوصات أمان الرمل.

تم العثور على Asyncrat ، الذي يوفر إمكانات شاملة للتحكم عن بُعد على الأنظمة المصابة ، لاستخدام تقنية تسمى Dead Drop Resolver للوصول إلى خادم القيادة والسيطرة الفعلية (C2) عن طريق قراءة ملف Pastebin.

الحمولة الأخرى هي سارقة معلومات Golang التي تم تنزيلها من Bitbucket. إنه مجهز لسرقة بيانات المستخدم الحساسة من Discord والمتصفحات المختلفة ومحافظ التشفير ومنصات الألعاب.

Skuld قادرة أيضًا على حصاد عبارات ومرور محفظة Crypto Wallet من Exodus ومحافظ التشفير الذرية. إنه ينجز هذا باستخدام نهج يسمى حقن المحفظة الذي يحل محل ملفات التطبيق المشروعة مع إصدارات طروادة تم تنزيلها من Github. تجدر الإشارة إلى أنه تم استخدام تقنية مماثلة مؤخرًا بواسطة حزمة NPM المارقة المسماة PDF إلى المكتب.

يستخدم الهجوم أيضًا إصدارًا مخصصًا من أداة مفتوحة المصدر تعرف باسم Chromekatz لتجاوز حماية تشفير APP الخاصة بـ Chrome. يتم تفكيك البيانات التي تم جمعها إلى Mistcreants عبر Discord Webhook.

حقيقة أن تسليم الحمولة وبيانات البيانات تحدث عبر الخدمات السحابية الموثوقة مثل Github و Bitbucket و Pastebin و Discord يتيح للجهات الفاعلة التهديد أن يمتزج مع حركة المرور العادية والطيران تحت الرادار. منذ ذلك الحين ، عطل Discord الروبوت الخبيث ، وكسر سلسلة الهجوم بشكل فعال.

وقالت Check Point إنها حددت أيضًا حملة أخرى مثبتة على نفس ممثل التهديد الذي يوزع المحمل كنسخة معدلة من hacktool لفتح الألعاب المقرصنة. تم تنزيل البرنامج الضار ، الذي تم استضافته أيضًا على Bitbucket ، 350 مرة.

تم تقييم أن ضحايا هذه الحملات يقعون في المقام الأول في الولايات المتحدة وفيتنام وفرنسا وألمانيا وسلوفاكيا والنمسا وهولندا والمملكة المتحدة.

تمثل النتائج أحدث مثال على كيفية استهداف مجرمي الإلكترونية للمنصة الاجتماعية الشهيرة ، والتي حصلت على شبكة توصيل المحتوى الخاصة بها (CDN) تعرضوا للإيذاء لاستضافة البرامج الضارة في الماضي.

وقال الباحثون: “توضح هذه الحملة كيف يمكن استغلال ميزة خفية لنظام Discord’s Invite ، وهي القدرة على إعادة استخدام رموز الدعوة التي انتهت صلاحيتها أو المحذوفة في روابط Vanity Invite ، باعتبارها متجهًا قويًا للهجوم”. “من خلال اختطاف روابط دعوة مشروعة ، يعيد فاعلو التهديدات بصمت توجيه المستخدمين المطمئنين إلى خوادم الخلاف الخبيثة.”

“يشير اختيار الحمولات ، بما في ذلك سرقة قوية يستهدف محافظ العملة المشفرة على وجه التحديد ، إلى أن المهاجمين يركزون في المقام الأول على مستخدمي التشفير ويحفزهم المكاسب المالية.”