Анализ вредоносной кампании: уязвимости приглашений Discord и обход защиты
Недавнее расследование компании Check Point Research выявило сложную вредоносную кампанию, эксплуатирующую уязвимости в системе приглашений Discord. Злоумышленники используют просроченные или удалённые приглашающие ссылки для перенаправления пользователей с надёжных платформ на вредоносные серверы, обходя традиционные меры безопасности.
Механизм атаки и используемые методы
Киберпреступники задействуют комплекс методов социальной инженерии, включая:
- технику ClickFix для манипуляции кликами пользователей,
- многоступенчатые загрузчики, позволяющие постепенно загружать вредоносный код,
- временные обходы защиты, затрудняющие обнаружение.
Атака начинается с перехвата приглашающих ссылок из законных сообществ Discord, которые потеряли статус премиум-сервера. После истечения срока действия таких ссылок злоумышленники перенаправляют пользователей на фишинговый сайт с интерфейсом, имитирующим Discord. Здесь жертвы вынуждены выполнять команду PowerShell, запускающую начальную полезную нагрузку — загрузчик, который вытягивает вредоносное ПО из облачных сервисов типа GitHub и Bitbucket.
Ключевые вредоносные компоненты: AsyncRAT и Skuld Stealer
Вредоносная кампания основывается на двух основных компонентах:
- AsyncRAT — троян для удалённого доступа, дающий злоумышленникам полный контроль над заражёнными системами. Он извлекает адреса серверов управления из общедоступных ресурсов, таких как Pastebin.
- Skuld Stealer — специализированный инструмент для кражи конфиденциальных данных из браузеров, игровых платформ и криптовалютных кошельков. Среди похищаемой информации — токены аутентификации Discord и seed-фразы кошельков.
Особенностью Skuld является фильтрация украденных данных через веб-узлы Discord с односторонней связью, что позволяет скрыть передачу информации от систем безопасности.
Продвинутые методы обхода защиты
Злоумышленники применяют ряд тактик для снижения риска обнаружения:
- мониторинг параметров командной строки и задержка выполнения вредоносных команд;
- обход шифрования Chrome с привязкой к приложениям (Application Bound Encryption, ABE);
- использование утилит типа ChromeKatz для доступа к памяти браузера и кражи файлов cookie из последних версий Chrome, Edge и Brave.
Таким образом, вредоносное ПО умеет обходить средства защиты, предотвращающие кражу сессионных данных и токенов аутентификации.
Текущая ситуация и риски
Кампания продолжает развиваться, активно нацеливаясь на пользователей криптовалют. Хакеры внедряют механизмы постоянного выполнения (persistence), что позволяет восстановить контроль над заражёнными системами даже после удаления вредоносного ПО.
Несмотря на то, что Discord предпринял меры по отключению обнаруженного вредоносного бота, угроза остается актуальной из-за потенциальной возможности злоумышленников создавать новые эксплойты на основе тех же уязвимостей.
Выводы
Вредоносная кампания, раскрытая Check Point Research, демонстрирует высокую сложность и продвинутость современных кибератак. Основываясь на уязвимостях системы приглашений Discord и используя методы социальной инженерии, злоумышленники создают опасные цепочки заражения с использованием мощных RAT и stealer-модулей.
Для пользователей Discord и владельцев криптовалютных кошельков критически важно проявлять осторожность при переходе по приглашениям и использовать надёжные средства защиты, а также своевременно обновлять программное обеспечение.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
