TM_750

8 16|6|2025 #750 Το Discord είναι μια ευρέως χρησιμο- ποιούμενη και αξιόπιστη πλατφόρμα που προτιμάται από παίκτες, κοινότητες, επιχειρήσεις και άλλους που χρειάζονται να συνδεθούν με ασφάλεια και ταχύτη- τα. Σε πρόσφατη έρευνα, η Check Point Research α ποκάλυψε ένα ελάττωμα στο σύστημα προσκλήσεων του Discord που επιτρέπει στους εισβολείς να καταλαμ- βάνουν ληγμένους ή διαγραμμένους συνδέσμους πρόσκλησης και να ανα- κατευθύνουν κρυφά ανυποψίαστους χρήστες σε κακόβουλους διακομιστές. Οι σύνδεσμοι πρόσκλησης που δημοσι- εύτηκαν από αξιόπιστες κοινότητες πριν από μήνες σε φόρουμ, μέσα κοινωνικής δικτύωσης ή επίσημες ιστοσελίδες θα μπορούσαν πλέον να οδηγήσουν αθό- ρυβα τους χρήστες στα χέρια εγκλημα- τιών του κυβερνοχώρου. Η Check Point Research παρατήρησε επιθέσεις στον πραγματικό κόσμο, στις οποίες οι απειλητικοί παράγοντες αξιο- ποίησαν τους συνδέσμους που είχαν πα- ραβιαστεί για να αναπτύξουν εξελιγμένα σχήματα ηλεκτρονικού ψαρέματος και καμπάνιες κακόβουλου λογισμικού. Αυ- τές περιλάμβαναν μολύνσεις πολλαπλών σταδίων που διέφυγαν της ανίχνευσης από εργαλεία προστασίας από ιούς και ελέγχους sandbox, μεταφέροντας τελικά κακόβουλο λογισμικό όπως το AsyncRAT και το Skuld Stealer. Το Discord προσφέρει διάφορους τύ- πους συνδέσμων πρόσκλησης: προσω- ρινούς, μόνιμους και προσαρμοσμένους συνδέσμους. Οι προσωρινοί σύνδεσμοι λήγουν μετά από ένα καθορισμένο χρο- νικό διάστημα, οι μόνιμοι σύνδεσμοι δεν λήγουν ποτέ, ενώ οι σύνδεσμοι προσαρ- μοσμένων είναι προσαρμοσμένες διευ- θύνσεις URL διαθέσιμες μόνο σε διακομι- στές με premium κατάσταση. Η έρευνα αποκάλυψε ότι οι εισβολείς μπορούν να εκμεταλλευτούν τον τρόπο με τον οποίο το Discord διαχειρίζεται τους ληγμένους ή διαγραμμένους κωδικούς πρόσκλησης ειδικά τους συνδέσμους vanity. Όταν ένας προσαρμοσμένος σύνδεσμος πρό- σκλησης λήξει ή ένας διακομιστής χάσει την ενισχυμένη κατάστασή του, ο κωδι- κός πρόσκλησης μπορεί να γίνει ξανά διαθέσιμος. Οι εισβολείς μπορούν στη συνέχεια να διεκδικήσουν τον ίδιο κωδι- κό και να ανακατευθύνουν τους χρήστες σε έναν κακόβουλο διακομιστή. Μόλις ένας σύνδεσμος πρόσκλησης πα- ραβιαστεί, οι εισβολείς ανακατευθύνουν τους χρήστες σε κακόβουλους διακομι- στές που μιμούνται τους νόμιμους δια- κομιστές του Discord. Οι νεοφερμένοι συνήθως διαπιστώνουν ότι τα περισσό- τερα κανάλια είναι κλειδωμένα, εκτός από ένα που ονομάζεται «επαλήθευ- ση». Εδώ, ένα ψεύτικο bot με το όνομα «Safeguard» ζητά από τους χρήστες να ολοκληρώσουν ένα βήμα επαλήθευσης. Κάνοντας κλικ στο «επαλήθευση», ξεκι- νά μια ροή OAuth2 και ανακατευθύνει τους χρήστες σε έναν ιστότοπο ηλεκτρο- νικού ψαρέματος που μοιάζει πολύ με το Discord. Ο ιστότοπος φορτώνει μια κακόβουλη εντολή PowerShell στο πρό- χειρο και καθοδηγεί τους χρήστες σε μια ψεύτικη διαδικασία επαλήθευσης. Αυτή η τεχνική, γνωστή ως «ClickFix», ξεγελάει τους χρήστες ώστε να εκτελέσουν την εντολή μέσω του παραθύρου διαλόγου «Εκτέλεση» των Windows. Μόλις εκτε- λεστεί, το σενάριο PowerShell κατεβάζει πρόσθετα στοιχεία από το Pastebin και το GitHub, ξεκινώντας μια αλυσίδα μό- λυνσης πολλαπλών σταδίων. Τελικά, το σύστημα μολύνεται με ωφέλιμα φορτία, όπως το AsyncRAT, το οποίο δίνει στους εισβολείς τηλεχειριστήριο, και το Skuld Stealer, που στοχεύει τα διαπιστευτήρια του προγράμματος περιήγησης και τα wallet κρυπτονομισμάτων. Ο ακριβής αριθμός των θυμάτων εί- ναι δύσκολο να προσδιοριστεί λόγω της κρυφής χρήσης των webhook του Discord για την εξαγωγή δεδομένων. Ωστόσο, τα στατιστικά στοιχεία λήψης από τα αποθετήρια που χρησιμοποιήθη- καν στην καμπάνια δείχνουν πάνω από 1.300 λήψεις. Τα θύματα ήταν διασκορ- πισμένα σε όλο τον κόσμο, συμπεριλαμ- βανομένων των ΗΠΑ, του Βιετνάμ, της Γαλλίας, της Γερμανίας, του Ηνωμένου Βασιλείου και άλλων χωρών. Αυτή η κα- μπάνια δείχνει πώς ένα λεπτό χαρακτη- ριστικό του συστήματος προσκλήσεων του Discord μπορεί να μετατραπεί σε όπλο. Παραβιάζοντας αξιόπιστους συν- δέσμους, οι εισβολείς δημιούργησαν μια αποτελεσματική αλυσίδα επίθεσης που συνδύαζε την κοινωνική μηχανική με την κατάχρηση νόμιμων υπηρεσιών, όπως το GitHub, το Bitbucket και το Pastebin. Δούρειος ίππος για κυβερνοεπιθέσεις το Discord