LATEST
Δούρειος ίππος για κυβερνοεπιθέσεις το Discord
Το Discord είναι μια ευρέως χρησιμοποιούμενη και αξιόπιστη πλατφόρμα που προτιμάται από παίκτες, κοινότητες, επιχειρήσεις και άλλους που χρειάζονται να συνδεθούν με ασφάλεια και ταχύτητα. Σε πρόσφατη έρευνα, η Check Point Research αποκάλυψε ένα ελάττωμα στο σύστημα προσκλήσεων του Discord που επιτρέπει στους εισβολείς να καταλαμβάνουν ληγμένους ή διαγραμμένους συνδέσμους πρόσκλησης και να ανακατευθύνουν κρυφά ανυποψίαστους χρήστες σε κακόβουλους διακομιστές. Οι σύνδεσμοι πρόσκλησης που δημοσιεύτηκαν από αξιόπιστες κοινότητες πριν από μήνες σε φόρουμ, μέσα κοινωνικής δικτύωσης ή επίσημες ιστοσελίδες θα μπορούσαν πλέον να οδηγήσουν αθόρυβα τους χρήστες στα χέρια εγκληματιών του κυβερνοχώρου.
Η Check Point Research παρατήρησε επιθέσεις στον πραγματικό κόσμο, στις οποίες οι απειλητικοί παράγοντες αξιοποίησαν τους συνδέσμους που είχαν παραβιαστεί για να αναπτύξουν εξελιγμένα σχήματα ηλεκτρονικού ψαρέματος και καμπάνιες κακόβουλου λογισμικού. Αυτές περιλάμβαναν μολύνσεις πολλαπλών σταδίων που διέφυγαν της ανίχνευσης από εργαλεία προστασίας από ιούς και ελέγχους sandbox, μεταφέροντας τελικά κακόβουλο λογισμικό όπως το AsyncRAT και το Skuld Stealer.
Το Discord προσφέρει διάφορους τύπους συνδέσμων πρόσκλησης: προσωρινούς, μόνιμους και προσαρμοσμένους συνδέσμους. Οι προσωρινοί σύνδεσμοι λήγουν μετά από ένα καθορισμένο χρονικό διάστημα, οι μόνιμοι σύνδεσμοι δεν λήγουν ποτέ, ενώ οι σύνδεσμοι προσαρμοσμένων είναι προσαρμοσμένες διευθύνσεις URL διαθέσιμες μόνο σε διακομιστές με premium κατάσταση. Η έρευνα αποκάλυψε ότι οι εισβολείς μπορούν να εκμεταλλευτούν τον τρόπο με τον οποίο το Discord διαχειρίζεται τους ληγμένους ή διαγραμμένους κωδικούς πρόσκλησης ειδικά τους συνδέσμους vanity. Όταν ένας προσαρμοσμένος σύνδεσμος πρόσκλησης λήξει ή ένας διακομιστής χάσει την ενισχυμένη κατάστασή του, ο κωδικός πρόσκλησης μπορεί να γίνει ξανά διαθέσιμος. Οι εισβολείς μπορούν στη συνέχεια να διεκδικήσουν τον ίδιο κωδικό και να ανακατευθύνουν τους χρήστες σε έναν κακόβουλο διακομιστή.
Μόλις ένας σύνδεσμος πρόσκλησης παραβιαστεί, οι εισβολείς ανακατευθύνουν τους χρήστες σε κακόβουλους διακομιστές που μιμούνται τους νόμιμους διακομιστές του Discord. Οι νεοφερμένοι συνήθως διαπιστώνουν ότι τα περισσότερα κανάλια είναι κλειδωμένα, εκτός από ένα που ονομάζεται «επαλήθευση». Εδώ, ένα ψεύτικο bot με το όνομα «Safeguard» ζητά από τους χρήστες να ολοκληρώσουν ένα βήμα επαλήθευσης.
Κάνοντας κλικ στο «επαλήθευση», ξεκινά μια ροή OAuth2 και ανακατευθύνει τους χρήστες σε έναν ιστότοπο ηλεκτρονικού ψαρέματος που μοιάζει πολύ με το Discord. Ο ιστότοπος φορτώνει μια κακόβουλη εντολή PowerShell στο πρόχειρο και καθοδηγεί τους χρήστες σε μια ψεύτικη διαδικασία επαλήθευσης. Αυτή η τεχνική, γνωστή ως «ClickFix», ξεγελάει τους χρήστες ώστε να εκτελέσουν την εντολή μέσω του παραθύρου διαλόγου «Εκτέλεση» των Windows. Μόλις εκτελεστεί, το σενάριο PowerShell κατεβάζει πρόσθετα στοιχεία από το Pastebin και το GitHub, ξεκινώντας μια αλυσίδα μόλυνσης πολλαπλών σταδίων. Τελικά, το σύστημα μολύνεται με ωφέλιμα φορτία, όπως το AsyncRAT, το οποίο δίνει στους εισβολείς τηλεχειριστήριο, και το Skuld Stealer, που στοχεύει τα διαπιστευτήρια του προγράμματος περιήγησης και τα wallet κρυπτονομισμάτων.
Ο ακριβής αριθμός των θυμάτων είναι δύσκολο να προσδιοριστεί λόγω της κρυφής χρήσης των webhook του Discord για την εξαγωγή δεδομένων. Ωστόσο, τα στατιστικά στοιχεία λήψης από τα αποθετήρια που χρησιμοποιήθηκαν στην καμπάνια δείχνουν πάνω από 1.300 λήψεις. Τα θύματα ήταν διασκορπισμένα σε όλο τον κόσμο, συμπεριλαμβανομένων των ΗΠΑ, του Βιετνάμ, της Γαλλίας, της Γερμανίας, του Ηνωμένου Βασιλείου και άλλων χωρών. Αυτή η καμπάνια δείχνει πώς ένα λεπτό χαρακτηριστικό του συστήματος προσκλήσεων του Discord μπορεί να μετατραπεί σε όπλο. Παραβιάζοντας αξιόπιστους συνδέσμους, οι εισβολείς δημιούργησαν μια αποτελεσματική αλυσίδα επίθεσης που συνδύαζε την κοινωνική μηχανική με την κατάχρηση νόμιμων υπηρεσιών, όπως το GitHub, το Bitbucket και το Pastebin.
