Kampania Malware Przekierowuje Stare Linki Discorda Aby Zhakować Użytkowników Krypto

Hakerzy przejmują wygasłe linki zaproszeń do Discorda, aby wciągnąć użytkowników w infekcje malware, które kradną portfele kryptowalut i omijają narzędzia zabezpieczające przeglądarki.

Zgodnie z informacjami zespołu badawczego CheckPoint, cyberprzestępcy wykorzystują wygasłe linki zaproszeń do Discorda, aby skierować użytkowników na szkodliwe serwery, co skutkuje zaawansowanymi infekcjami malware.

Napastnicy przejmują dawne linki zaproszeniowe, które należały do zaufanych społeczności, aby kierować użytkowników do imitacji serwerów Discord. Fałszywe serwery Discord oszukują swoich użytkowników, nakłaniając ich do pobrania niebezpiecznego oprogramowania szpiegującego, w tym AsyncRAT i Skuld Stealer, złośliwego oprogramowania atakującego portfele kryptowalut.

Napastnicy wykorzystują sposób, w jaki Discord generuje linki zaproszeniowe, używając zarówno tymczasowych, jak i stałych możliwości łączenia. Atakujący uzyskują dostęp do porzuconych linków, odzyskując je w celu ustawienia szkodliwych serwerów Discord.

W ten sposób, użytkownicy, którzy klikają na to, co wydaje się być prawidłowymi zaproszeniami z mediów społecznościowych lub przestarzałymi postami, są automatycznie przenoszeni na złośliwe serwery kontrolowane przez hakerów.

Wewnątrz tych fałszywych serwerów, użytkownicy spotykają bota o nazwie „Safeguard”, który prezentuje fałszywy proces weryfikacji. Po zainicjowaniu procesu weryfikacji, uzyskują dostęp do strony phishingowej, która uruchamia niebezpieczne polecenie PowerShell.

Polecenie pobiera złośliwe oprogramowanie z GitHuba, a także z platform Bitbucket i Pastebin, aby operacja mogła się wmieszać w standardowy ruch sieciowy.

Malware wykonuje wiele etapów, aby uniknąć systemów wykrywania. Link do GitHuba służy jako pierwszy cel pobierania dla skryptu PowerShell. Ładowarka pobiera zaszyfrowane złośliwe oprogramowanie z Bitbucket przed jego odszyfrowaniem do instalacji na komputerze użytkownika.

Ostatnie ładunki – AsyncRAT i Skuld Stealer – umożliwiają atakującym zdalne sterowanie systemami i kradzież ważnych informacji, w tym danych użytkownika, wraz z danymi portfeli kryptowalutowych z aplikacji Exodus i Atomic. Malware wprowadza opóźnienia czasowe, do 15 minut, aby uniknąć automatycznych systemów zabezpieczeń.

Dodatkowo, cybernetyczni napastnicy odkryli metodę obejścia ochrony zapewnianej przez Google Chrome’s App Bound Encryption dla plików cookie. Atakujący zmodyfikowali ChromeKatz, aby umożliwić bezpośrednie wyodrębnianie plików cookie logowania z pamięci przeglądarek Chrome, Edge i Brave.

Ataki były skierowane do użytkowników na terenie całych Stanów Zjednoczonych, a także Wietnamu, Francji i Niemiec, jak również innych krajów. Wydaje się, że napastnicy celują w użytkowników kryptowalut, ponieważ ich złośliwe oprogramowanie specjalnie atakuje dane do portfeli oraz frazy odzyskiwania.

Badacze uważają, że mimo zablokowania przez Discord konkretnego bota używanego w tej kampanii, cyberprzestępcy opracują nowe metody. Użytkownicy powinni chronić się przed takimi atakami, unikając przestarzałych zaproszeń na Discord, zachowując ostrożność wobec żądań weryfikacji i utrzymując aktualne oprogramowanie antywirusowe.