У світі кібербезпеки з’явилася нова загроза: кіберзлочинці активно експлуатують вразливість у системі запрошень Discord, що дозволяє їм поширювати шкідливе програмне забезпечення через підроблені сервери.
Як працює атака
Дослідники з Check Point виявили, що зловмисники перехоплюють прострочені або видалені запрошення на сервери Discord та замінюють їх на власні, але зберігають оригінальні адреси. Це дозволяє їм впроваджувати шкідливі посилання на форумах і в соціальних мережах. Користувачі, які натрапляють на такі запрошення, потрапляють на підроблений сервер, де бачать стандартну процедуру верифікації. Однак, натиснувши кнопку Verify, вони запускають процес OAuth2, який веде на підроблений сайт, де від них вимагають виконати команду PowerShell, що призводить до зараження комп’ютера.
Цілі та інструменти
Атака спрямована на геймерів і маскує шкідливе ПЗ під інструменти для злому контенту, такі як “розблокувальник доповнень” для The Sims 4. Один з таких файлів під назвою Sims4-Unlocker.zip вже був завантажений понад 350 разів. Зловмисники використовують сервіси Pastebin, GitHub та Bitbucket для доставки шкідливих скриптів, які встановлюють на комп’ютер жертви AsyncRAT для віддаленого управління та модифіковану версію Skuld Stealer для крадіжки облікових даних і криптогаманців.
Як уникнути небезпеки
Щоб залишатися в безпеці, дослідники рекомендують бути особливо обережними з Discord-посиланнями, особливо якщо вони розміщені в старих постах. Віруси, які використовуються в цій атаці, можуть обходити антивіруси завдяки відтермінованому виконанню, перевірці аргументів запуску та фрагментації зараження на етапи, що дозволяє їм залишатися непоміченими і отримати доступ до чутливих даних.
Нагадаємо, що раніше компанія Apple повідомила про атаки хакерів на iPhone у 100 країнах. Чи є серед цих країн Україна, поки що невідомо.
Джерела: https://blog.checkpoint.com/
Також на тему:
