Uma nova campanha de malware direcionada a usuários de criptomoedas por meio de links de convite do Discord foi descoberta. De acordo com informações, o novo malware explora uma fraqueza no sistema de convites do Discord para entregar um ladrão de informações conhecido como Skuld e o trojan de acesso remoto AsyncRAT.

Em um relatório da Check Point, a plataforma mencionou que os atacantes sequestram os links através do registro de links personalizados, o que lhes permite redirecionar facilmente os usuários de fontes confiáveis para servidores maliciosos.

"Os atacantes combinaram a técnica de phishing ClickFix, carregadores de múltiplas etapas e evasões baseadas em tempo para entregar furtivamente o AsyncRAT e um Skuld Stealer personalizado direcionado a carteiras de criptomoedas", disse a Check Point.

De acordo com a plataforma, um dos usos do mecanismo de convite do Discord é que ele permite que atacantes sequestram links de convite expirados ou excluídos e redirecionem secretamente usuários desavisados para diferentes servidores maliciosos sob seu controle. Isso significa que um link de convite do Discord, que foi anteriormente compartilhado para um propósito legítimo nas redes sociais e em outros fóruns, poderia ser usado para levar os usuários a seus servidores e plataformas maliciosas.

Link de convite do Discord sequestrado para fins maliciosos

Esse desenvolvimento ocorre pouco mais de um mês depois que a empresa de cibersegurança revelou outra campanha de phishing sofisticada que sequestrou links personalizados expirados para atrair usuários a ingressar em um servidor Discord, instruindo-os a visitar um site de phishing para verificar a propriedade. Os atores maliciosos eventualmente usaram a plataforma para obter acesso ilegal às carteiras digitais dos usuários e esvaziar suas carteiras após conectá-las.

Embora os usuários possam criar links de convite temporários, permanentes ou personalizados no Discord, a plataforma não permite que outros servidores legítimos recuperem um link de convite expirado ou excluído anteriormente. No entanto, se um usuário criar um link personalizado, ele pode reutilizar os códigos de convite expirados e até alguns códigos de convite permanentes excluídos em alguns casos.

Essa capacidade de reutilizar códigos expirados ou excluídos ao criar links de convite personalizados permite que criminosos abusem disso, com a maioria deles reivindicando-os para seus servidores maliciosos. "Isso cria um risco sério: Usuários que seguem links de convite anteriormente confiáveis (por exemplo, em sites, blogs ou fóruns) podem ser redirecionados inadvertidamente para servidores Discord falsos criados por atores de ameaça", disse a Check Point.

De acordo com o relatório, o sequestro de links de convite do Discord envolve o uso de um link de convite legítimo compartilhado por comunidades para redirecionar usuários para um servidor malicioso. As vítimas desse esquema são solicitadas a completar um carimbo de verificação, que envolve inserir vários detalhes para obter acesso total ao servidor. Isso é feito autorizando um bot, que os leva a um site falso onde são obrigados a verificar as informações fornecidas. Após isso, os golpistas usam uma tática de engenharia social para enganar os usuários e infectar seus sistemas.

Atores maliciosos roubam frases-semente de carteiras com malware

De acordo com o relatório, o malware Skuld é capaz de coletar frases-semente de carteiras de criptomoedas das carteiras Exodus e Atomic. Ele realiza essa atividade usando uma abordagem chamada injeção de carteira, substituindo a versão original dos arquivos do aplicativo por versões carregadas com trojans baixados do GitHub. Outro payload é um ladrão de informações Goland que pode ser baixado do Bitbucket. Ele é usado para roubar dados sensíveis do Discord, de vários navegadores, carteiras de criptomoedas e plataformas de jogos.

A Check Point acrescentou que também identificou outra campanha maliciosa sendo realizada pelo mesmo ator de ameaça onde distribuiu o carregador como uma versão modificada de uma ferramenta de hack para desbloquear hams pirateados. O programa, de acordo com o relatório, foi baixado 350 vezes no Bitbucket. As vítimas dessas campanhas estão principalmente localizadas nos Estados Unidos, França, Eslováquia, Países Baixos, Áustria, Vietnã e Reino Unido.

As descobertas mostram o mais recente exemplo de como os cibercriminosos têm visado a plataforma. "Esta campanha ilustra como um recurso sutil do sistema de convites do Discord, a capacidade de reutilizar códigos de convite expirados ou excluídos em links de convite personalizados, pode ser explorado como um poderoso vetor de ataque", disseram os pesquisadores. "Ao sequestrar links de convite legítimos, os atores de ameaça redirecionam silenciosamente usuários desavisados para servidores Discord maliciosos."

A diferença chave Wire ajuda marcas de criptomoedas a se destacarem e dominarem rapidamente as manchetes