Una nueva campaña de malware está explotando una cariño en el sistema de invitación de Discord para ofrecer un robador de información llamado Skuld y el Troyano de golpe remoto de Asyncrat.
“Los atacantes secuestraron los enlaces a través del registro de enlaces de vanidad, permitiéndoles redirigir silenciosamente a los usuarios de fuentes de confianza a servidores maliciosos”, dijo Check Point en un documentación técnico. “Los atacantes combinaron la técnica de phishing ClickFix, los cargadores de varias etapas y las evasiones basadas en el tiempo para entregar sigilosamente a Asyncrat, y un robador de Skuld personalizado dirigido a las billeteras criptográficas”.
El problema con el mecanismo de invitación de Discord es que permite a los atacantes secuestrar o eliminar los enlaces de invitación y redirigir secretamente a los usuarios desprevenidos a servidores maliciosos bajo su control. Esto todavía significa que un enlace de invitación de discordia que alguna vez fue confiable y compartido en foros o plataformas de redes sociales podría sufrir a los usuarios a sitios maliciosos.
Los detalles de la campaña se producen poco más de un mes luego de que la compañía de seguridad cibernética reveló otra sofisticada campaña de phishing que secuestró a la vanidad expirada invitando a los enlaces a atraer a los usuarios a unirse a un servidor de discordia y instruirles a saludar un sitio de phishing para comprobar la propiedad, solo para que sus activos digitales se agoten al conectar sus billeteras.
Si perfectamente los usuarios pueden crear enlaces de invitación temporales, permanentes o personalizados (tocadores) en Discord, la plataforma evita que otros servidores legítimos recuperen una invitación previamente expirada o eliminada. Sin requisa, Check Point descubrió que la creación de enlaces de invitación personalizados permite la reutilización de códigos de invitación caducados e incluso los códigos de invitación permanentes eliminados en algunos casos.
Esta capacidad de reutilizar los códigos expirados o eliminados de Discord al crear enlaces de invitación de tocador personalizado abre la puerta al injusticia, lo que permite a los atacantes reclamarlo por su servidor desconfiado.
“Esto crea un peligro formal: los usuarios que siguen enlaces de invitación previamente confiables (por ejemplo, en sitios web, blogs o foros) pueden ser redirigidos sin saberlo a servidores de discordia falsos creados por actores de amenazas”, dijo Check Point.
El secuestro de enlace de invitación de discordia, en pocas palabras, implica tomar el control de los enlaces de invitación originalmente compartidos por las comunidades legítimas y luego usarlos para redirigir a los usuarios al servidor desconfiado. Se les pide a los usuarios que caen presas del esquema y se unan al servidor que completen un paso de comprobación para obtener golpe completo al servidor autorizando un bot, lo que luego los lleva a un sitio web hipócrita con un renuevo destacado de “comprobar”.
Aquí es donde los atacantes llevan el ataque al próximo nivel incorporando la infame táctica de ingeniería social de ClickFix para engañar a los usuarios para que infecten sus sistemas con el pretexto de la comprobación.
Específicamente, haciendo clic en el renuevo “Efectuar” ejecuta subrepticiamente JavaScript que copia un comando PowerShell en el portapapeles de la máquina, luego de lo cual se insta a los usuarios a iniciar el cuadro de diálogo de ejecución de Windows, pegar la “prisión de comprobación” ya copiada (es opinar, el comando PowerShell), y presione ENTER para autenticar sus cuentas.
Pero en sinceridad, realizar estos pasos desencadena la descarga de un script PowerShell alojado en Pastebin que seguidamente recupera y ejecuta un descargador de primera etapa, que finalmente se usa para soltar Asyncrat y Skuld Stealer de un servidor remoto y ejecutarlos.
En el corazón de este ataque se encuentra un proceso de infección meticulosamente diseñado y de varias etapas diseñado tanto para precisión como para sigilo, al tiempo que toma medidas para trastornar las protecciones de seguridad a través de las verificaciones de seguridad de Sandbox.
Se ha enfrentado que Asyncrat, que ofrece capacidades integrales de control remoto sobre los sistemas infectados, emplea una técnica llamamiento Dead Drop Resolver para obtener al servidor vivo de comando y control (C2) leyendo un archivo Pastebin.
La otra carga útil es un robador de información de Golang que se descarga de Bitbucket. Está equipado para robar datos del afortunado confidenciales de Discord, varios navegadores, billeteras de criptografía y plataformas de distracción.
Skuld todavía es capaz de cosechar frases y contraseñas de semillas de billetera criptográfica de las billeteras de exodo y cripto atómico. Logra esto utilizando un enfoque llamado inyección de billetera que reemplaza los archivos de aplicaciones legítimos con versiones troyanizadas descargadas de GitHub. Vale la pena señalar que una técnica similar fue utilizada recientemente por un paquete Rogue NPM llamado PDF-to-office.
El ataque todavía emplea una interpretación personalizada de una utensilio de código amplio conocida como ChromeKatz para evitar las protecciones de enigmático de App App de Chrome. Los datos recopilados se exfiltran a los delincuentes a través de un Webhook de Discord.
El hecho de que la entrega de la carga útil y la exfiltración de datos ocurran a través de servicios de cúmulo de confianza como GitHub, Bitbucket, Pastebin y Discord permiten a los actores de amenaza combinarse con el tráfico habitual y evaporarse bajo el radar. Desde entonces, Discord ha deshabilitado el bot desconfiado, rompiendo efectivamente la prisión de ataque.
Check Point dijo que todavía identificó otra campaña montada por el mismo actor de amenaza que distribuye el cargador como una interpretación modificada de un HackTool para desbloquear juegos pirateados. El software desconfiado, todavía alojado en Bitbucket, se ha descargado 350 veces.
Se ha evaluado que las víctimas de estas campañas se encuentran principalmente en los Estados Unidos, Vietnam, Francia, Alemania, Eslovaquia, Austria, los Países Bajos y el Reino Unido.
Los hallazgos representan el posterior ejemplo de cómo los cibercriminales están apuntando a la popular plataforma social, que ha tenido su red de entrega de contenido (CDN) abusada de introducir malware en el pasado.
“Esta campaña ilustra cómo una característica sutil del sistema de invitación de Discord, la capacidad de reutilizar los códigos de invitación expirados o eliminados en los enlaces de invitación de vanidad, puede explotarse como un poderoso vector de ataque”, dijeron los investigadores. “Al secuestrar los enlaces de invitación legítimos, los actores de amenaza redirigen silenciosamente a los usuarios desprevenidos a servidores de discordia maliciosos”.
“La selección de las cargas aperos, incluido un poderoso robador específicamente dirigido a las billeteras de criptomonedas, sugiere que los atacantes se centran principalmente en los usuarios de criptografía y se motivan por la fruto financiera”.
