Kötü Amaçlı Yer İşaretleri ve JavaScript Tarafından Hedeflenen Crypto Discord Toplulukları

   Mayıs 31, 2023  Posted in HackRead


Aura Network, MetrixCoin ve Nahmii dahil olmak üzere birçok kripto tabanlı Discord topluluğu saldırının kurbanı oldu.

Discord toplulukları, bu platformda sık sık bildirilen saldırılarla siber suçlular için birincil hedef haline geldi. Yakın tarihli bir saldırı dalgasında Aura Network, MetrixCoin ve Nahmii dahil olmak üzere birkaç kripto tabanlı Discord topluluğu kurban gitti.

Bilgisayar korsanları genellikle Kripto para birimine odaklanan Discord topluluklarını hedefleyin tartışmalar, bu sefer özellikle bu gruplara ait yönetici hesaplarını hedefliyorlar.

Saldırı Yöntemi:

KrebsOnSecurity’den Brian Krebs’e göre, Discord’daki yönetici hesaplarını ele geçirmeyi amaçlayan saldırılarda önemli bir artış oldu. Saldırganlar, yürüterek bu hesaplardan yararlanmaya çalışıyor kötü amaçlı JavaScript kodu. Kullanıcıları kodu çalıştırmaları için kandırmak için, görünüşte zararsız bir tarayıcı yer imi olarak gizlenmiştir. Bu saldırının nasıl geliştiğini göstermek için bir YouTube videosu yayınlandı.

Aldatıcı Strateji:

Saldırganlar, web sayfalarındaki sürükleme özelliğini kullanarak JavaScript’i tarayıcı yer imlerine ekleyerek aldatıcı bir strateji uygular. Discord yöneticileri, kripto haber kaynaklarından muhabir kılığına giren kişilerden röportaj talepleri aldıklarını bildirdi.

Röportajı kabul ettiklerinde, yöneticiler haber çıkışını taklit eden sahte bir Discord sunucusuna yönlendirilir. Daha sonra sunucudan tarayıcılarının yer imleri çubuğuna bir düğme sürükleyerek kimliklerini doğrulamaları istenir. Kurbanlar, bu eylemin doğrulama sürecinin bir parçası olduğuna inanıyor ve ardından Discord.com’a dönüp yeni yer imine tıklıyor.

Kötü Amaçlı JavaScript Snippet’i:

Kurbanların haberi olmadan, yer imi zekice tasarlanmış bir JavaScript pasajıdır. Bu snippet, kurbanın Discord jetonunu gizlice alır ve saldırganın web sitesine gönderir.

Saldırgan daha sonra belirteci tarayıcı oturumuna yükler ve gece geç saatlerde özel airdrop’ları veya NFT hedeflenen Discord grubu içindeki nane olayları. Bu duyurular, mesajların meşruiyetine güvenen masum üyeleri cezbetmeyi amaçlamaktadır.

Kurbanlara daha sonra cihazlarını bağlamaları talimatı verilir. bir web adresine kripto cüzdanları saldırgan tarafından sağlanır ve belirteçleri üzerinde sınırsız harcama onayı verir. Sonuç olarak, saldırgan güvenliği ihlal edilmiş bu hesaplardaki fonları başarıyla çeker. Saldırgan izlerini örtmek için mesajları derhal siler ve dolandırıcılığı ifşa etmeye çalışan kullanıcıları yasaklar.

Belirteç İşlevselliği ve Sonrası:

Çalınan belirteç, orijinal sahibi oturumu kapatana veya kimlik bilgilerini değiştirene kadar yalnızca saldırgan için işlevsel kalır. Bu, saldırganın şüphe uyandırmadan ele geçirilen hesabı istismar etmesini sağlar.

Krebs’e göre Blog yazısı, Ocean Protocol’ün bir ortağı olan Nicholas Scavuzzo bu saldırının kurbanı oldu. 22 Mayıs’ta Ocean Protocol’ün Discord sunucusunun yöneticisi, bir topluluk üyesinden doğrudan mesajla gönderilen bir bağlantıya tıkladı. Daha sonra yöneticiden web tarayıcısının yer imleri çubuğuna bir bağlantı sürükleyerek kimliğini doğrulaması istendi. olmasına rağmen etkin çok faktörlü kimlik doğrulama (MFA), Scavuzzo’nun hesabı ele geçirildi.

Saldırganlar, hesabı kullanmak için Scavuzzo’nun saat diliminde gece yarısına kadar bekledi ve bu da ani şüphe olasılığını azalttı. Ardından, yeni bir Ocean airdropunu duyuran yetkisiz bir mesaj gönderdiler. Sonunda Scavuzzo, kanalı barındıran sunucunun operatörüyle iletişime geçti ve ayarlar normale döndürüldü.

Çözüm:

Kripto odaklı topluluklardaki discord yönetici hesapları, kötü amaçlı JavaScript yer imlerini kullanan dolandırıcılar için birincil hedef haline geldi. Saldırganlar, masum tarayıcı yer imleri kılığında kodu yürütmeleri için onları kandırarak Discord yöneticilerinin güvenini kötüye kullanır.

Bu aldatıcı strateji sayesinde, dolandırıcılar kurbanların Discord jetonlarına erişim elde ederek, güvenliği ihlal edilmiş hesaplardan para çekmek gibi dolandırıcılık faaliyetleri gerçekleştirmelerini sağlar. Discord kullanıcılarının, özellikle de yöneticilerin bu tür saldırılara karşı dikkatli olmaları ve tetikte olmaları çok önemlidir.

  1. Yeni kötü amaçlı yazılım, kişisel verileri çalmak için Discord kullanıcılarını hedefliyor
  2. Discord’da Genç “Hackerlar” Hızlı Nakit Karşılığında Kötü Amaçlı Yazılım Satıyor
  3. Google Ads Kötü Amaçlı Yazılımı, NFT Influencer’ın Kripto Cüzdanını Siliyor
  4. Dark Frost Botnet’in Vurduğu Oyun Firmaları, Topluluk Üyeleri
  5. Discord Jetonlarını Sifonlamak İçin Kullanılan Kötü Amaçlı NPM Paketleri



Source link