Una nueva campaña de malware está explotando una cariño en el sistema de invitación de Discord para ofrecer un robador de información llamado Skuld y el Troyano de comunicación remoto de Asyncrat.
«Los atacantes secuestraron los enlaces a través del registro de enlaces de vanidad, permitiéndoles redirigir silenciosamente a los usuarios de fuentes de confianza a servidores maliciosos», dijo Check Point en un crónica técnico. «Los atacantes combinaron la técnica de phishing ClickFix, los cargadores de varias etapas y las evasiones basadas en el tiempo para entregar sigilosamente a Asyncrat, y un robador de Skuld personalizado dirigido a las billeteras criptográficas».
El problema con el mecanismo de invitación de Discord es que permite a los atacantes secuestrar o eliminar los enlaces de invitación y redirigir secretamente a los usuarios desprevenidos a servidores maliciosos bajo su control. Esto todavía significa que un enlace de invitación de discordia que alguna vez fue confiable y compartido en foros o plataformas de redes sociales podría aguantar a los usuarios a sitios maliciosos.
Los detalles de la campaña se producen poco más de un mes a posteriori de que la compañía de seguridad cibernética reveló otra sofisticada campaña de phishing que secuestró a la vanidad expirada invitando a los enlaces a atraer a los usuarios a unirse a un servidor de discordia y instruirles a revistar un sitio de phishing para repasar la propiedad, solo para que sus activos digitales se agoten al conectar sus billeteras.
Si perfectamente los usuarios pueden crear enlaces de invitación temporales, permanentes o personalizados (tocadores) en Discord, la plataforma evita que otros servidores legítimos recuperen una invitación previamente expirada o eliminada. Sin secuestro, Check Point descubrió que la creación de enlaces de invitación personalizados permite la reutilización de códigos de invitación caducados e incluso los códigos de invitación permanentes eliminados en algunos casos.
Esta capacidad de reutilizar los códigos expirados o eliminados de Discord al crear enlaces de invitación de tocador personalizado abre la puerta al despotismo, lo que permite a los atacantes reclamarlo por su servidor astuto.
«Esto crea un aventura arduo: los usuarios que siguen enlaces de invitación previamente confiables (por ejemplo, en sitios web, blogs o foros) pueden ser redirigidos sin saberlo a servidores de discordia falsos creados por actores de amenazas», dijo Check Point.
El secuestro de enlace de invitación de discordia, en pocas palabras, implica tomar el control de los enlaces de invitación originalmente compartidos por las comunidades legítimas y luego usarlos para redirigir a los usuarios al servidor astuto. Se les pide a los usuarios que caen presas del esquema y se unan al servidor que completen un paso de demostración para obtener comunicación completo al servidor autorizando un bot, lo que luego los lleva a un sitio web fingido con un interruptor destacado de «repasar».
Aquí es donde los atacantes llevan el ataque al posterior nivel incorporando la infame táctica de ingeniería social de ClickFix para engañar a los usuarios para que infecten sus sistemas con el pretexto de la demostración.
Específicamente, haciendo clic en el interruptor «Probar» ejecuta subrepticiamente JavaScript que copia un comando PowerShell en el portapapeles de la máquina, a posteriori de lo cual se insta a los usuarios a iniciar el cuadro de diálogo de ejecución de Windows, pegar la «sujeción de demostración» ya copiada (es opinar, el comando PowerShell), y presione ENTER para autenticar sus cuentas.
Pero en efectividad, realizar estos pasos desencadena la descarga de un script PowerShell alojado en Pastebin que después recupera y ejecuta un descargador de primera etapa, que finalmente se usa para soltar Asyncrat y Skuld Stealer de un servidor remoto y ejecutarlos.
En el corazón de este ataque se encuentra un proceso de infección meticulosamente diseñado y de varias etapas diseñado tanto para precisión como para sigilo, al tiempo que toma medidas para trastornar las protecciones de seguridad a través de las verificaciones de seguridad de Sandbox.
Se ha antitético que Asyncrat, que ofrece capacidades integrales de control remoto sobre los sistemas infectados, emplea una técnica emplazamiento Dead Drop Resolver para aceptar al servidor existente de comando y control (C2) leyendo un archivo Pastebin.
La otra carga útil es un robador de información de Golang que se descarga de Bitbucket. Está equipado para robar datos del heredero confidenciales de Discord, varios navegadores, billeteras de criptografía y plataformas de serie.
Skuld todavía es capaz de cosechar frases y contraseñas de semillas de billetera criptográfica de las billeteras de exodo y cripto atómico. Logra esto utilizando un enfoque llamado inyección de billetera que reemplaza los archivos de aplicaciones legítimos con versiones troyanizadas descargadas de GitHub. Vale la pena señalar que una técnica similar fue utilizada recientemente por un paquete Rogue NPM llamado PDF-to-office.
El ataque todavía emplea una interpretación personalizada de una aparejo de código rajado conocida como ChromeKatz para evitar las protecciones de secreto de App App de Chrome. Los datos recopilados se exfiltran a los delincuentes a través de un Webhook de Discord.
El hecho de que la entrega de la carga útil y la exfiltración de datos ocurran a través de servicios de estrato de confianza como GitHub, Bitbucket, Pastebin y Discord permiten a los actores de amenaza combinarse con el tráfico común y estallar bajo el radar. Desde entonces, Discord ha deshabilitado el bot astuto, rompiendo efectivamente la sujeción de ataque.
Check Point dijo que todavía identificó otra campaña montada por el mismo actor de amenaza que distribuye el cargador como una interpretación modificada de un HackTool para desbloquear juegos pirateados. El software astuto, todavía alojado en Bitbucket, se ha descargado 350 veces.
Se ha evaluado que las víctimas de estas campañas se encuentran principalmente en los Estados Unidos, Vietnam, Francia, Alemania, Eslovaquia, Austria, los Países Bajos y el Reino Unido.
Los hallazgos representan el postrer ejemplo de cómo los cibercriminales están apuntando a la popular plataforma social, que ha tenido su red de entrega de contenido (CDN) abusada de introducir malware en el pasado.
«Esta campaña ilustra cómo una característica sutil del sistema de invitación de Discord, la capacidad de reutilizar los códigos de invitación expirados o eliminados en los enlaces de invitación de vanidad, puede explotarse como un poderoso vector de ataque», dijeron los investigadores. «Al secuestrar los enlaces de invitación legítimos, los actores de amenaza redirigen silenciosamente a los usuarios desprevenidos a servidores de discordia maliciosos».
«La votación de las cargas aperos, incluido un poderoso robador específicamente dirigido a las billeteras de criptomonedas, sugiere que los atacantes se centran principalmente en los usuarios de criptografía y se motivan por la provecho financiera».
