Yeni bir kötü amaçlı yazılım kampanyası, Discord’un davet sistemindeki bir zayıflıktan yararlanıyor ve Skuld ve Asyncrat Remote Access Trojan adlı bir bilgi stealer sunmak için.
Check Point teknik bir raporda, “Saldırganlar, bağlantıları Vanity Link kaydı aracılığıyla ele geçirerek kullanıcıları güvenilir kaynaklardan kötü amaçlı sunuculara sessizce yönlendirmelerine izin verdi.” Dedi. “Saldırganlar, Asyncrat’ı gizlice sunmak için ClickFix Kimlik Avlanma Teknikini, Çok Aşamalı Yükleyicileri ve Zamana Dayalı Kurtuluşları ve Kripto Cüzdanlarını Hedefleyen Özelleştirilmiş Skuld Stealer’ı birleştirdi.”
Discord’un davet mekanizması ile ilgili sorun, saldırganların süresi dolmuş veya silinmiş davet bağlantılarını kaçırmasına ve şüphesiz kullanıcıları kontrolleri altındaki kötü amaçlı sunuculara gizlice yönlendirmesine izin vermesidir. Bu aynı zamanda, bir zamanlar forumlarda veya sosyal medya platformlarında güvenilir ve paylaşılan bir anlaşmazlık, farkında olmadan kullanıcıları kötü niyetli sitelere yönlendirebileceği anlamına gelir.
Kampanyanın detayları, siber güvenlik şirketinin, kullanıcıları bir anlaşmazlık sunucusuna katılmaya ikna etmek ve sahipliği doğrulamak için bir kimlik avı sitesini ziyaret etmelerini isteyen, yalnızca dijital varlıklarının cüzdanlarını bağladıktan sonra drene olmasını sağlayan bir başka sofistike kimlik avı kampanyası açtıktan bir aydan biraz fazla bir süre sonra geliyor.
Kullanıcılar geçici, kalıcı veya özel (makyaj) uyumsuzluğa davet bağlantıları oluşturabilirken, platform diğer meşru sunucuların daha önce süresi dolmuş veya silinmiş bir davetiyeyi geri kazanmasını önler. Bununla birlikte, Check Point, özel davet bağlantıları oluşturmanın süresi dolmuş davet kodlarının yeniden kullanılmasına izin verdiğini ve hatta bazı durumlarda kalıcı davet kodlarının silinmesine izin verdiğini buldu.
Özel Vanity Invite bağlantıları oluştururken Discordun süresi dolmuş veya silinen kodları yeniden kullanma yeteneği, istismarın kapısını açar ve saldırganların kötü amaçlı sunucuları için talep etmelerini sağlar.
Check Point, “Bu ciddi bir risk yaratıyor: Daha önce güvenilir davet bağlantılarını (örneğin, web sitelerinde, bloglarda veya forumlarda) takip eden kullanıcılar, bilinmeden tehdit aktörleri tarafından oluşturulan sahte uyumsuzluk sunucularına yönlendirilebilir.” Dedi.
Discit Invite-Link kaçırma, kısaca, meşru topluluklar tarafından paylaşılan davet bağlantılarının kontrolünü ele geçirmeyi ve daha sonra kullanıcıları kötü amaçlı sunucuya yönlendirmek için kullanmayı içerir. Şemaya avlanan ve sunucuya katılan kullanıcılardan, bir bot yetkilendirerek tam sunucu erişimi elde etmek için bir doğrulama adımı tamamlamaları istenir, bu da onları önemli bir “Doğrulama” düğmesine sahip sahte bir web sitesine götürür.
Bu, kullanıcıları doğrulama bahanesi altında sistemlerini enfekte etmek için kandırmak için meşhur ClickFix Sosyal Mühendislik taktiklerini dahil ederek saldırganların saldırıyı bir sonraki seviyeye taşıdığı yerdir.
Özellikle, “Doğrulama” düğmesini tıklamak, bir PowerShell komutunu makinenin panosuna kopyalayan JavaScript’i gizlice yürütür, daha sonra kullanıcıların Windows Run iletişim kutusunu başlatmaları, zaten kopyalanmış “doğrulama dizesini” (yani PowerShell komutunu) yapıştırmaları ve hesaplarını kimlik doğrulamak için Enter tuşuna basın.
Ancak gerçekte, bu adımları gerçekleştirmek, daha sonra birinci aşamalı bir indiriciyi geri alan ve yürüten, sonuçta Asyncrat ve Skuld Stealer’ı uzak bir sunucudan düşürmek ve yürütmek için kullanılan bir ilk aşama indiriciyi gerçekleştiren bir PowerShell komut dosyasının indirilmesini tetikler.
Bu saldırının merkezinde, hem hassas hem de gizli için tasarlanmış titizlikle tasarlanmış, çok aşamalı bir enfeksiyon süreci, aynı zamanda kum havuzu güvenlik kontrolleri yoluyla güvenlik korumalarını yıkmak için adımlar atıyor.
Enfekte sistemler üzerinde kapsamlı uzaktan kumanda yetenekleri sunan Asyncrat’ın, bir Pastebin dosyası okuyarak gerçek komut ve kontrol (C2) sunucusuna erişmek için Dead Drop Reserver adlı bir teknik kullandığı bulunmuştur.
Diğer yük, Bitbucket’ten indirilen bir Golang bilgi stealer. Discord, çeşitli tarayıcılar, kripto cüzdanları ve oyun platformlarından hassas kullanıcı verilerini çalmak için donanımlıdır.
Skuld ayrıca Exodus ve atomik kripto cüzdanlarından kripto cüzdan tohum ifadeleri ve şifreleri hasat edebiliyor. Bunu, GitHub’dan indirilen truva atı sürümleriyle meşru uygulama dosyalarını değiştiren cüzdan enjeksiyonu adı verilen bir yaklaşım kullanarak gerçekleştirir. Benzer bir tekniğin son zamanlarda PDF-Office adlı bir haydut NPM paketi tarafından kullanıldığını belirtmek gerekir.
Saldırı aynı zamanda Chrome’un uygulamaya bağlı şifreleme korumalarını atlamak için ChromeKatz olarak bilinen açık kaynaklı bir aracın özel bir versiyonunu kullanıyor. Toplanan veriler, bir anlaşmazlık Webhook aracılığıyla yanlış yaratmaya eklenir.
Github, Bitbucket, Pastebin ve Discord gibi güvenilir bulut hizmetleri aracılığıyla yükleme teslimi ve veri açığa çıkması, tehdit aktörlerinin normal trafikle karışmasına ve radarın altında uçmasına izin verir. Discord o zamandan beri kötü niyetli botu devre dışı bıraktı ve saldırı zincirini etkili bir şekilde kırdı.
Check Point, yükleyiciyi korsan oyunların kilidini açmak için bir hacktool’un değiştirilmiş bir versiyonu olarak dağıtan aynı tehdit aktörü tarafından monte edilen başka bir kampanya belirlediğini söyledi. Bitbucket’te de barındırılan kötü amaçlı program 350 kez indirildi.
Bu kampanyaların kurbanlarının öncelikle ABD, Vietnam, Fransa, Almanya, Slovakya, Avusturya, Hollanda ve Birleşik Krallık’ta bulunduğu değerlendirildi.
Bulgular, siber suçluların geçmişte kötü amaçlı yazılımlara ev sahipliği yapmak için istismar edilen popüler sosyal platformu nasıl hedeflediğine dair en son örneği temsil ediyor.
Araştırmacılar, “Bu kampanya, Discord’un davet sisteminin ince bir özelliğinin, süresi dolmuş veya silinen davet kodlarını makyaj davet bağlantılarında nasıl yeniden kullanma yeteneğinin güçlü bir saldırı vektörü olarak nasıl kullanılabileceğini göstermektedir.” Dedi. “Meşru davet bağlantılarını ele geçirerek, tehdit aktörleri şüphesiz kullanıcıları sessizce kötü niyetli anlaşmazlık sunucularına yönlendiriyorlar.”
“Özellikle kripto para birimi cüzdanlarını hedefleyen güçlü bir stealer da dahil olmak üzere yüklerin seçimi, saldırganların öncelikle kripto kullanıcılarına odaklandığını ve finansal kazançla motive edildiğini gösteriyor.”