Киберпреступники начали активно использовать уязвимость в системе приглашений Discord.
Как злоумышленники используют уязвимость
Как сообщили исследователи Check Point, злоумышленники перехватывают ранее действующие, но просроченные или удалённые инвайты на серверы и заменяют их на собственные, сохраняя оригинальные адреса. Это позволяет им внедрять вредоносные ссылки на форумах, в соцсетях и других местах, где такие приглашения могли остаться в старых публикациях.
Механизм атаки
Попав на поддельный сервер, пользователь видит стандартную процедуру верификации. Бот с именем Safeguard предлагает нажать кнопку Verify, которая запускает процесс OAuth2 и ведёт на поддельный сайт. Там посетителю предлагают «починить» капчу с помощью команды PowerShell, тем самым запускается заражение.
Цели и последствия
Атака разворачивается в несколько этапов: злоумышленники используют Pastebin, GitHub и Bitbucket для доставки вредоносных скриптов. В результате на компьютер попадает AsyncRAT, инструмент для удалённого управления, а также модифицированная версия Skuld Stealer, предназначенная для кражи учётных данных и криптокошельков.
По словам исследователей, основная цель кампаний — геймеры. Вредоносное ПО маскируется под инструменты для взлома контента, например, под «разблокировщик дополнений» для The Sims 4. Один такой файл под названием Sims4-Unlocker.zip был скачан более 350 раз.
Как защититься
Эти вирусы также могут обходить антивирусы с помощью отсроченного выполнения, проверки аргументов запуска и фрагментации заражения на этапы. Это позволяет ему оставаться незамеченным и получить доступ к чувствительным данным. Исследователи рекомендуют быть особенно осторожными с Discord-ссылками, особенно если они размещены в старых постах.
Предыстория
Ранее мы рассказывали, что Apple сообщила об атаках хакеров на iPhone в 100 странах. Есть ли среди этих стран Украина, неизвестно.
Источники: https://blog.checkpoint.com/
Также по теме:
