Une nouvelle campagne de logiciels malveillants exploite une faiblesse du système d’invitation de Discord à fournir un voleur d’informations appelé Skuld et le cheval de Troie à distance asyncrat.
“Les attaquants ont détourné les liens via l’enregistrement des liens de vanité, leur permettant de rediriger silencieusement les utilisateurs des sources de confiance vers des serveurs malveillants”, a déclaré Check Point dans un rapport technique. “Les attaquants ont combiné la technique de phishing Clickfix, les chargeurs à plusieurs étapes et les évasions basées sur le temps pour livrer furtivement Asyncrat, et un voleur Skuld personnalisé ciblant les portefeuilles cryptographiques.”
Le problème avec le mécanisme d’invitation de Discord est qu’il permet aux attaquants de détourner des liens d’invitation expirés ou supprimés et de rediriger secrètement les utilisateurs sans méfiance vers des serveurs malveillants sous leur contrôle. Cela signifie également qu’un lien Discord Invite qui était autrefois fiable et partagé sur des forums ou des plateformes de médias sociaux pourrait conduit involontairement les utilisateurs vers des sites malveillants.
Les détails de la campagne interviennent un peu plus d’un mois après que la société de cybersécurité a révélé une autre campagne de phishing sophistiquée qui a détourné des liens de vanité expirée pour inciter les utilisateurs à rejoindre un serveur Discord et à leur demander de visiter un site de phishing pour vérifier la propriété, uniquement pour que leurs actifs numériques soient drainés lors de la connexion de leurs portefeuilles.
Bien que les utilisateurs puissent créer des liens d’invitation temporaire, permanent ou personnalisé (vanité) sur Discord, la plate-forme empêche d’autres serveurs légitimes de récupérer une invitation précédemment expirée ou supprimée. Cependant, Check Point a constaté que la création de liens d’invitation personnalisés permet de réutiliser des codes d’invitation expirés et même des codes d’invitation permanents supprimés dans certains cas.
Cette capacité à réutiliser la discorde a expiré ou supprimé les codes lors de la création de liens d’invitation de vanité personnalisés ouvre la porte à des abus, permettant aux attaquants de le réclamer pour leur serveur malveillant.
“Cela crée un risque grave: les utilisateurs qui suivent des liens invitants précédemment fiables (par exemple, sur les sites Web, les blogs ou les forums) peuvent être redirigées sans le savoir vers les faux serveurs de discorde créés par les acteurs de la menace”, a déclaré Check Point.
Le détournement Discord Invite-Link, en un mot, consiste à prendre le contrôle des liens d’invitation à l’origine partagés par des communautés légitimes, puis à les utiliser pour rediriger les utilisateurs vers le serveur malveillant. Les utilisateurs qui font la proie du schéma et rejoignent le serveur sont invités à terminer une étape de vérification afin d’obtenir un accès complet au serveur en autorisant un bot, ce qui les mène ensuite à un faux site Web avec un bouton “Vérifier” proéminent.
C’est là que les attaquants font passer l’attaque au niveau suivant en incorporant la talent tactique de l’ingénierie sociale de Clickfix pour inciter les utilisateurs à infecter leurs systèmes sous prétexte de vérification.
Plus précisément, cliquer sur le bouton “Vérifier” exécute subrepticement JavaScript qui copie une commande PowerShell dans le presse-papiers de la machine, après quoi les utilisateurs sont invités à lancer la boîte de dialogue Run Windows Run, à coller la “chaîne de vérification” déjà copiée (c’est-à-dire la commande PowerShell) et à appuyer sur Entrée pour authentifier leurs comptes.
Mais en réalité, l’exécution de ces étapes déclenche le téléchargement d’un script PowerShell hébergé sur Pastebin qui récupère et exécute par la suite un téléchargeur de premier étage, qui est finalement utilisé pour déposer Asyncrat et Skuld Stealer à un serveur distant et les exécuter.
Au cœur de cette attaque se trouve un processus d’infection à plusieurs étapes méticuleusement conçu conçu à la fois pour la précision et la furtivité, tout en prenant des mesures pour renverser les protections de sécurité via des vérifications de sécurité de bac à sable.
Asyncrat, qui propose des capacités de télécommande complètes sur les systèmes infectés, s’est avéré utiliser une technique appelée Dead Drop Resolver pour accéder au serveur réel de commandement et de contrôle (C2) en lisant un fichier pastebin.
L’autre charge utile est un voleur d’informations Golang téléchargé à partir de Bitbucket. Il est équipé pour voler des données d’utilisateurs sensibles à Discord, divers navigateurs, portefeuilles cryptographiques et plateformes de jeu.
Skuld est également capable de récolter des phrases de graines de portefeuille cryptographique et des mots de passe de l’Exode et des portefeuilles crypto atomiques. Il accomplit cela à l’aide d’une approche appelée injection de portefeuille qui remplace les fichiers d’application légitimes par des versions trojanisées téléchargées à partir de GitHub. Il convient de noter qu’une technique similaire a récemment été utilisée par un package NPM voyou nommé PDF-Office.
L’attaque utilise également une version personnalisée d’un outil open source connu sous le nom de Chromekatz pour contourner les protections de cryptage liées à l’application de Chrome. Les données collectées sont exfiltrées aux mécréants via un webhook Discord.
Le fait que la livraison de charge utile et l’exfiltration des données se produisent via des services cloud de confiance tels que GitHub, Bitbucket, Pastebin et Discord permet aux acteurs de la menace de se fondre avec un trafic normal et de voler sous le radar. Discord a depuis désactivé le bot malveillant, brisant efficacement la chaîne d’attaque.
Check Point a déclaré avoir également identifié une autre campagne montée par le même acteur de menace qui distribue le chargeur comme une version modifiée d’un hacktool pour déverrouiller les jeux piratés. Le programme malveillant, également hébergé sur Bitbucket, a été téléchargé 350 fois.
Il a été évalué que les victimes de ces campagnes sont principalement situées aux États-Unis, au Vietnam, en France, en Allemagne, en Slovaquie, en Autriche, aux Pays-Bas et au Royaume-Uni.
Les résultats représentent le dernier exemple de la façon dont les cybercriminels ciblent la plate-forme sociale populaire, qui a fait maltraiter son réseau de livraison de contenu (CDN) pour héberger des logiciels malveillants dans le passé.
“Cette campagne illustre comment une caractéristique subtile du système d’invitation de Discord, la possibilité de réutiliser les codes d’invitation expirés ou supprimés dans les liens d’invitation de vanité, peut être exploité en tant que puissant vecteur d’attaque”, ont déclaré les chercheurs. “En détournant les liens d’invitation légitimes, les acteurs de la menace redirigent silencieusement les utilisateurs sans méfiance vers des serveurs de discorde malveillants.”
“Le choix des charges utiles, y compris un voleur puissant ciblant spécifiquement les portefeuilles de crypto-monnaie, suggère que les attaquants sont principalement axés sur les utilisateurs de cryptos et motivés par un gain financier.”
