
Image by ELLA DON, from Unsplash
Кампания по распространению вредоносного ПО захватывает старые ссылки Discord для взлома пользователей криптовалют
Хакеры захватывают истекшие пригласительные ссылки Discord, чтобы обмануть пользователей и заразить их вредоносным ПО, которое крадет криптовалютные кошельки и обходит инструменты безопасности браузера.
Торопитесь? Вот краткие факты:
- Жертвы перенаправляются на фишинговые сайты через поддельные боты верификации Discord.
- Вредоносное ПО скачивается с доверенных платформ, таких как GitHub и Pastebin.
- AsyncRAT и Skuld Stealer нацелены на криптовалютные кошельки и конфиденциальные данные пользователей.
Согласно исследовательской группе CheckPoint, киберпреступники используют истекшие ссылки приглашений в Discord для перенаправления пользователей на вредоносные серверы, что приводит к заражению продвинутым вредоносным ПО.
Злоумышленники перехватывают бывшие пригласительные ссылки, которые принадлежали доверенным сообществам, чтобы направить пользователей на поддельные серверы Discord. На этих фальшивых серверах пользователей обманывают и заставляют скачать опасные вирусы, включая AsyncRAT и Skuld Stealer — вредоносное ПО, нацеленное на кошельки криптовалюты.
Атакующие используют способ, которым Discord генерирует пригласительные ссылки, применяя как временные, так и постоянные возможности связи. Злоумышленники получают доступ к заброшенным ссылкам, заявляя их обратно для создания вредоносных серверов Discord.
Таким образом, пользователи, которые нажимают на то, что кажется им действительными приглашениями из социальных сетей или устаревшими сообщениями, автоматически попадают на вредоносные серверы, контролируемые хакерами.
Внутри этих поддельных серверов пользователи сталкиваются с ботом под названием «Safeguard», который представляет собой поддельный процесс верификации. После того как пользователи начинают процесс верификации, они получают доступ к фишинговому сайту, который запускает опасную команду PowerShell.
Команда извлекает вредоносное программное обеспечение с GitHub, а также с платформ Bitbucket и Pastebin, чтобы операция сливалась со стандартным веб-трафиком.
Вредоносное ПО выполняет несколько этапов, чтобы уклониться от систем обнаружения. Ссылка на GitHub служит первой целью загрузки для сценария PowerShell. Загрузчик извлекает зашифрованное вредоносное ПО из Bitbucket, прежде чем расшифровать его для установки на компьютерную систему пользователя.
Последние нагрузки — AsyncRAT и Skuld Stealer — позволяют злоумышленникам удаленно контролировать системы и красть важную информацию, включая учетные данные пользователей, а также данные криптовалютных кошельков из приложений Exodus и Atomic. Вредоносное ПО реализует временные задержки, до 15 минут, чтобы уклониться от автоматических систем безопасности.
Кроме того, кибернападающие обнаружили способ обхода защиты, предоставляемой шифрованием приложений Google Chrome для cookies. Нападающие модифицировали ChromeKatz для прямого извлечения файлов cookies входа из памяти браузеров Chrome, Edge и Brave.
Атаки были направлены на пользователей по всему Соединенному Штатам, а также во Вьетнаме, Франции и Германии, и в других странах. Нападающие, по-видимому, нацеливаются на пользователей криптовалют, потому что их вредоносное ПО специально направлено на учетные данные кошелька и фразы для восстановления.
Исследователи считают, что, несмотря на отключение Discord конкретного бота, использованного в этой кампании, киберпреступники разработают новые методы. Пользователи должны защитить себя от таких атак, избегая устаревших приглашений в Discord, оставаясь осторожными в отношении запросов на проверку подлинности и поддерживая актуальное антивирусное программное обеспечение.