Кіберзлочинці почали активно використовувати вразливість у системі запрошень Discord.
Як повідомили дослідники Check Point, зловмисники перехоплюють раніше чинні, але прострочені або видалені інвайти на сервери та замінюють їх на власні, зберігаючи оригінальні адреси.
Це дає їм змогу впроваджувати шкідливі посилання на форумах, у соцмережах та інших місцях, де такі запрошення могли залишитися в старих публікаціях.
Потрапивши на підроблений сервер, користувач бачить стандартну процедуру верифікації. Бот з ім'ям Safeguard пропонує натиснути кнопку Verify, яка запускає процес OAuth2 і веде на підроблений сайт. Там відвідувачеві пропонують "полагодити" капчу за допомогою команди PowerShell, тим самим запускається зараження.
Атака розгортається в кілька етапів: зловмисники використовують Pastebin, GitHub і Bitbucket для доставки шкідливих скриптів. У результаті на комп'ютер потрапляє AsyncRAT, інструмент для віддаленого управління, а також модифікована версія Skuld Stealer, призначена для крадіжки облікових даних і криптогаманців.
За словами дослідників, основна мета кампаній - геймери. Шкідливе ПЗ маскується під інструменти для злому контенту, наприклад, під "розблокувальник доповнень" для The Sims 4. Один такий файл під назвою Sims4-Unlocker.zip було завантажено понад 350 разів.
Ці віруси також можуть обходити антивіруси за допомогою відтермінованого виконання, перевірки аргументів запуску і фрагментацію зараження на етапи. Це дає йому змогу залишатися непоміченим і отримати доступ до чутливих даних.
Дослідники рекомендують бути особливо обережними з Discord-посиланнями, особливо якщо вони розміщені в старих постах.
Раніше ми розповідали, що Apple повідомила про атаки хакерів на iPhone у 100 країнах. Чи є серед цих країн Україна, невідомо.
