Tehdit aktörleri, Discord’un kötü niyetli bağlantıları dağıtmak için davet sistemini kullandı ve sonuçta asyncrat ve diğer zararlı yükler sağladı.
Oyuncular, geliştiriciler ve topluluklar için yaygın olarak güvenilir bir platform olan Discord, altyapısını özellikle kimlik avı şemalarını ve kötü amaçlı yazılım enfeksiyonlarını düzenlemek için altyapısını kötüye kullanan siber suçlular için bir hedef haline geldi.
Yakın tarihli bir siber güvenlik raporunda ayrıntılı olarak açıklanan bu kampanya, saldırganların sahte uyumsuzluk, sosyal mühendislik ve kaçırılan makyaj URL’lerini, kripto para birimi ve oyun ekosistemlerine birincil odaklanarak kullanıcı hesaplarını tehlikeye atmak ve hassas verileri çalmak için nasıl kullandığını ortaya koyuyor.
.png
)
Discord’un Davet Sistemi’nden yararlanmak
Saldırı, sunuculara veya grup sohbetlerine erişmek için kullanılan benzersiz URL’ler olan Discord Invite bağlantılarının manipülasyonu ile başlar.
Meşru bağlantılar tipik olarak formatları takip eder https://discord.gg/, but attackers craft deceptive lookalike domains such as discord-giveaway[.]net veya discordnitro[.]gift kullanıcıları kandırmak için.
Kritik bir güvenlik açığı, süresi dolmuş veya silinmiş davet kodlarının, özellikle de güçlendirilmiş sunuculara bağlı makyaj URL’lerinin yeniden kullanılmasında yatmaktadır.
Geçici bir davet sona erdiğinde, Seviye 3 artırma durumuna sahip saldırganlar kodu geri alabilir ve şüpheli olmayan kullanıcıları kötü amaçlı sunuculara yönlendirebilir.
Dark Atlas Raporu’na göre, bu kaçırma, Twitter veya Reddit gibi platformlarda daha önce paylaşılan bağlantılardaki kalıntı güvenini kullanıyor ve kurbanların meşru toplulukları taklit etmek için tasarlanmış sahte sunuculara katılmasına yol açıyor.
Çok aşamalı enfeksiyon zinciri
Kullanıcılar bu saldırgan kontrollü sunuculara katıldıktan sonra, genellikle tek bir kanala dönüşür, örneğin #verifyburada yaygın olarak “koruma” veya “güven botu” olarak adlandırılan sahte bir bot onları bir “Doğrula” düğmesine tıklamalarını ister.
Bu etkileşim, kullanıcıları kimlik avı sitelerine yönlendirir captchaguard[.]meDiscord Masaüstü uygulamasını taklit eden sahte bir kullanıcı arayüzü sunmadan önce Discord’un OAUTH2 yetkilendirme akışını kötüye kullanır.
Bu sayfalardaki “Doğrula” yı tıklamak, kötü niyetli bir PowerShell komutunu panoya kopyalayan JavaScript’i tetikleyerek Asyncrat (uzaktan erişim Truva) ve Skuld Stealer’ın indirilmesini başlatır.
Asyncrat, karma gibi tanımlandı 53b65b7c38e3d3fca465c547a8c1acc53c8723877c6884f8c3495ff8ccc94fbeSkuld tarayıcı kimlik bilgilerini, uyumsuzluk jetonlarını ve Exodus gibi kripto para cüzdanlarını .asar dosya enjeksiyonları aracılığıyla hedeflerken, tam uzaktan kumanda, keyloglama ve dosya manipülasyonunu etkinleştirir.
Kötü amaçlı yazılım ayrıca veri açığa çıkması için Discord Webhooks’u kullanır ve şifreli yükleri barındırmak için GitHub ve Bitbucket gibi platformları kullanır, gizlilik ve kalıcılık sağlar.
Bu kampanyanın etkisi, 1.300’ü aşan depolara ev sahipliği yapmaktan indirme sayılarıyla dikkat çekiyor ve ABD, Vietnam ve İngiltere gibi bölgelerde potansiyel olarak büyük bir kurban havuzunu gösteriyor.
Discord’un kötü niyetli botları kaldırma çabalarına rağmen, davet istismarı ve modüler teslimat zincirlerine dayanan temel teknikler gelecekteki saldırılar için geçerlidir. Kullanıcılara davet bağlantılarını incelemeleri ve riskleri azaltmak için doğrulanmamış doğrulama istemlerinden kaçınmaları istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| SHA256 (Asyncrat) | 53B65B7C38E3D3FCA465C547A8C1ACC53C8723877C684F8C3495FF8CCC94FBE |
| SHA256 (Skuld Stealer) | 8135F126764592BE3DF1200F49140BFB546EC1B2C34A153AA509465406CB46C |
| Kimlik avı URL’si | captchaguard[.]Ben |
| C2 Adresi | 101.99.76.120 |
| Webhook URL’si | https: // Discord[.]com/api/webhooks/135186248578502736/_rdywh_k6 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin