Кіберзлочинці масово зловживають механізмом кастомних посилань у Discord, перенаправляючи користувачів на фальшиві сервери з інфостілерами, які викрадають дані для доступу до криптогаманців та браузерів.
Кіберзлочинці масово зловживають механізмом кастомних посилань у Discord, перенаправляючи користувачів на фальшиві сервери з інфостілерами, які викрадають дані для доступу до криптогаманців та браузерів.
Discord став об’єктом нової фішингової кампанії, у якій зловмисники перехоплюють посилання-запрошення до серверів, реєструючи ті самі імена у кастомних (vanity) лінках. Як повідомляє The Hacker News, ця вразливість дозволяє атакувальникам перенаправляти користувачів на фальшиві сервери, де їм пропонують пройти «верифікацію» через шкідливий PowerShell-скрипт.
Цей скрипт запускає складну багаторівневу схему зараження, що призводить до встановлення AsyncRAT (трояна для повного віддаленого контролю) та Skuld Stealer — крадія, спрямованого на викрадення даних із криптогаманців, браузерів і навіть ігор. Особливу увагу Skuld приділяє таким гаманцям як Exodus і Atomic, модифікуючи їхні файли через GitHub-репозиторії.
Щоб залишатися непомітними, зловмисники маскують трафік, використовуючи легітимні платформи на кшталт Pastebin, GitHub, Bitbucket і сам Discord. Передача вкрадених даних також здійснюється через Discord-вебхуки. У компанії вже відреагували, видаливши шкідливого бота, однак у мережі залишаються сотні завантажень заражених інструментів.
Ще один вектор атаки — фейкові програми для злому ігор, які насправді містять модифіковані завантажувачі. Такі програми, що поширюються через Bitbucket, вже зібрали понад 350 завантажень. За оцінками експертів, найбільше постраждали користувачі зі США, В’єтнаму, Франції, Німеччини та Великої Британії.
Уразливість із повторним використанням старих invite-кодів — неочевидна, але небезпечна. Discord забороняє новим користувачам відновлювати старі звичайні лінки, однак дозволяє це з «ваніті-посиланнями. Цим і скористались хакери, комбінуючи соціальну інженерію з технічними вивертами. Новий кейс — ще одне нагадування, що навіть дрібні UX-функції можуть перетворитися на серйозні вектори атак.
Раніше ми писали, як зловмисники, імовірно, з росії, поширюють шкідливе ПЗ AtomicOS (AMOS), яке краде паролі, криптогаманці та дані системи. Атака реалізована через соціальну інженерію. Користувачів змушують вручну запускати небезпечну команду в терміналі.
