La nueva campaña de malware está aprovechando las debilidades del sistema de invitación de Discord para proporcionar robo de información, conocido como troyano de acceso remoto de Skuld y Asyncrat.
«El atacante secuestró el enlace a través de un registro de enlaces de vanidad, permitiendo a los usuarios redirigir silenciosamente de fuentes confiables a servidores maliciosos», dijo Check Point en un informe técnico. «Los atacantes combinaron la tecnología de phishing ClickFix, los cargadores de varias etapas y la evasión del tiempo para proporcionar asynplato y un robador de skuld personalizado dirigido a billeteras criptográficas».
El problema con el mecanismo de invitación de discordia es que un atacante puede secuestrar un enlace de invitación caducado o eliminado y redirigir secretamente a los usuarios desprevenidos a un servidor malicioso bajo su control. Esto también significa que los usuarios pueden conducir inconscientemente a sitios maliciosos invitando a enlaces que alguna vez fueron confiables y compartidos en foros y plataformas de redes sociales.
Más de un mes después de que la compañía de seguridad cibernética reveló otra sofisticada campaña de phishing que secuestró un tocador expirado, instruyó a los usuarios que se unieran al servidor de discordias y accedan a los sitios de phishing para confirmar la propiedad.
Los usuarios pueden crear temporales, permanentes o personalizados (tocador), pero la plataforma evita que otros servidores legítimos jueguen invitaciones que han expirado o eliminado previamente. Sin embargo, descubrimos que al crear enlaces de invitación personalizados, permite la reutilización de códigos de invitación vencidos, y en algunos casos incluso códigos de invitación permanentes que se han eliminado.
Al crear enlaces de invitación de tocador personalizado, el código expirado o eliminado expirado o eliminado, lo que abre la puerta al abuso y permite a los atacantes facturarla contra servidores maliciosos.
«Esto crea un riesgo grave. Los usuarios que siguen enlaces de invitación previamente confiables (por ejemplo, sitios web, blogs o foros) pueden redirigir sin su conocimiento a servidores falsos falsos creados por actores de amenazas», dijo Checkpoint.
El secuestro de Discord Invite-Link implica controlar los enlaces de invitación originalmente compartidos por las comunidades legítimas y usarlos para redirigir a los usuarios a servidores maliciosos. Se les pide a los usuarios que caen presas del esquema y se unan al servidor que completen el paso de verificación para obtener el acceso completo al servidor al aprobar el bot.
Aquí es donde los atacantes incorporan las infames tácticas de ingeniería social de ClickFix para llevar sus ataques al siguiente nivel engañando a los usuarios para que infecte el sistema con el pretexto de la validación.
Específicamente, haga clic en el botón Validar para ejecutar en secreto JavaScript que copia el comando PowerShell al portapapeles de la máquina. Luego, el usuario inicia el cuadro de diálogo Ejecutar Windows, pegue la «cadena de validación» ya copiada (es decir, el comando PowerShell) y presione ENTER para probar Enter.
Pero en realidad, ejecutar estos pasos desencadena una descarga de un script de PowerShell alojado en Paspevin, que luego recupera y ejecuta el primer descargador de escena.
En el corazón de este ataque hay un proceso de infección de varias etapas meticulosamente diseñado diseñado tanto para la precisión como para el sigilo, tomando medidas para destruir las protecciones de seguridad a través de controles de seguridad de Sandbox.
Se ha encontrado que Asyncrat, que ofrece capacidades de control remoto más integrales que los sistemas infectados, emplea una técnica llamada Dead Drop Resolver para leer el archivo de Paspevin y acceder al servidor Real Command and Control (C2).
La otra carga útil es el robador de información de Golang descargado de Bitbucket. Equipado para robar datos de usuario confidenciales de Discord, varios navegadores, billeteras de criptografía y plataformas de juego.
Skuld también puede cosechar frases y contraseñas de semillas de billetera criptográfica de billeteras de criptografía de éxodo y atómica. Esto se logra utilizando un enfoque llamado inyección de billetera, que reemplaza los archivos de aplicaciones legales con la versión troyanizada descargada de GitHub. Vale la pena señalar que una técnica similar ha sido utilizada recientemente por un paquete Rogue NPM llamado PDF-to-office.
Este ataque utiliza una versión personalizada de una herramienta de código abierto conocida como ChromeKatz para evitar la protección criptográfica vinculada por las aplicaciones de Chrome. Los datos recopilados se extienden a los villanos a través de Discord Webhook.
El hecho de que la entrega de la carga útil y la eliminación de datos ocurran a través de servicios de nube confiables como Github, Bitbucket, Pastebin, Discord permiten a los actores de amenaza combinarse con el tráfico normal y volar bajo el radar. Discord luego desactivó bots maliciosos y efectivamente derrotó a la cadena de ataque.
Checkpoint dijo que ha identificado otra campaña que fue instalada por los mismos actores de amenaza que distribuyen el cargador como una versión modificada de Hacktour para desbloquear juegos pirateados. Los programas maliciosos también alojados en Bitbucket se han descargado 350 veces.
Las víctimas de estas campañas están clasificadas principalmente en los Estados Unidos, Vietnam, Francia, Alemania, Eslovaquia, Austria, los Países Bajos y el Reino Unido.
Los hallazgos presentan los últimos ejemplos de cómo los cibercriminales se dirigen a plataformas sociales populares.
«Esta campaña muestra cómo las características sutiles del sistema de invitación de Discord, cómo los códigos de invitación caducados o eliminados pueden usarse como poderosos vectores de ataque en los enlaces de invitación de vanidad», dijeron los investigadores. «Al secuestrar un enlace de invitación legal, el actor de amenaza redirige silenciosamente a los usuarios a un servidor malicioso e incompatible».
«La elección de las cargas útiles, incluido el robo fuerte, específicamente dirigido a las billeteras de criptomonedas, sugiere que los atacantes se centran principalmente en usuarios de criptografía y motivados por beneficios económicos».
Source link
