Una nueva campaña de malware está explotando una debilidad en el sistema de invitación de Discord para ofrecer un robador de información llamado Skuld y el Troyano de acceso remoto de Asyncrat.
«Los atacantes secuestraron los enlaces a través del registro de enlaces de vanidad, permitiéndoles redirigir silenciosamente a los usuarios de fuentes de confianza a servidores maliciosos», dijo Check Point en un informe técnico. «Los atacantes combinaron la técnica de phishing ClickFix, los cargadores de varias etapas y las evasiones basadas en el tiempo para entregar sigilosamente a Asyncrat, y un robador de Skuld personalizado dirigido a las billeteras criptográficas».
El problema con el mecanismo de invitación de Discord es que permite a los atacantes secuestrar o eliminar los enlaces de invitación y redirigir secretamente a los usuarios desprevenidos a servidores maliciosos bajo su control. Esto también significa que un enlace de invitación de discordia que alguna vez fue confiable y compartido en foros o plataformas de redes sociales podría llevar a los usuarios a sitios maliciosos.
Los detalles de la campaña se producen poco más de un mes después de que la compañía de seguridad cibernética reveló otra sofisticada campaña de phishing que secuestró a la vanidad expirada invitando a los enlaces a atraer a los usuarios a unirse a un servidor de discordia y instruirles a visitar un sitio de phishing para verificar la propiedad, solo para que sus activos digitales se agoten al conectar sus billeteras.
Si bien los usuarios pueden crear enlaces de invitación temporales, permanentes o personalizados (tocadores) en Discord, la plataforma evita que otros servidores legítimos recuperen una invitación previamente expirada o eliminada. Sin embargo, Check Point descubrió que la creación de enlaces de invitación personalizados permite la reutilización de códigos de invitación caducados e incluso los códigos de invitación permanentes eliminados en algunos casos.
Esta capacidad de reutilizar los códigos expirados o eliminados de Discord al crear enlaces de invitación de tocador personalizado abre la puerta al abuso, lo que permite a los atacantes reclamarlo por su servidor malicioso.
«Esto crea un riesgo grave: los usuarios que siguen enlaces de invitación previamente confiables (por ejemplo, en sitios web, blogs o foros) pueden ser redirigidos sin saberlo a servidores de discordia falsos creados por actores de amenazas», dijo Check Point.
El secuestro de enlace de invitación de discordia, en pocas palabras, implica tomar el control de los enlaces de invitación originalmente compartidos por las comunidades legítimas y luego usarlos para redirigir a los usuarios al servidor malicioso. Se les pide a los usuarios que caen presas del esquema y se unan al servidor que completen un paso de verificación para obtener acceso completo al servidor autorizando un bot, lo que luego los lleva a un sitio web falso con un botón destacado de «verificar».
Aquí es donde los atacantes llevan el ataque al siguiente nivel incorporando la infame táctica de ingeniería social de ClickFix para engañar a los usuarios para que infecten sus sistemas con el pretexto de la verificación.
Específicamente, haciendo clic en el botón «Verificar» ejecuta subrepticiamente JavaScript que copia un comando PowerShell en el portapapeles de la máquina, después de lo cual se insta a los usuarios a iniciar el cuadro de diálogo de ejecución de Windows, pegar la «cadena de verificación» ya copiada (es decir, el comando PowerShell), y presione ENTER para autenticar sus cuentas.
Pero en realidad, realizar estos pasos desencadena la descarga de un script PowerShell alojado en Pastebin que posteriormente recupera y ejecuta un descargador de primera etapa, que finalmente se usa para soltar Asyncrat y Skuld Stealer de un servidor remoto y ejecutarlos.
En el corazón de este ataque se encuentra un proceso de infección meticulosamente diseñado y de varias etapas diseñado tanto para precisión como para sigilo, al tiempo que toma medidas para subvertir las protecciones de seguridad a través de las verificaciones de seguridad de Sandbox.
Se ha encontrado que Asyncrat, que ofrece capacidades integrales de control remoto sobre los sistemas infectados, emplea una técnica llamada Dead Drop Resolver para acceder al servidor real de comando y control (C2) leyendo un archivo Pastebin.
La otra carga útil es un robador de información de Golang que se descarga de Bitbucket. Está equipado para robar datos del usuario confidenciales de Discord, varios navegadores, billeteras de criptografía y plataformas de juego.
Skuld también es capaz de recolectar frases y contraseñas de semillas de billetera criptográfica de las billeteras de exodo y cripto atómico. Logra esto utilizando un enfoque llamado inyección de billetera que reemplaza los archivos de aplicaciones legítimos con versiones troyizadas descargadas de GitHub. Vale la pena señalar que una técnica similar fue utilizada recientemente por un paquete Rogue NPM llamado PDF-to-office.
El ataque también emplea una versión personalizada de una herramienta de código abierto conocida como ChromeKatz para evitar las protecciones de cifrado de App App de Chrome. Los datos recopilados se exfiltran a los delincuentes a través de un Webhook de Discord.
El hecho de que la entrega de la carga útil y la exfiltración de datos ocurran a través de servicios de nube de confianza como GitHub, Bitbucket, Pastebin y Discord permiten a los actores de amenaza combinarse con el tráfico normal y volar bajo el radar. Desde entonces, Discord ha deshabilitado el bot malicioso, rompiendo efectivamente la cadena de ataque.
Check Point dijo que también identificó otra campaña montada por el mismo actor de amenaza que distribuye el cargador como una versión modificada de un HackTool para desbloquear juegos pirateados. El programa malicioso, también alojado en Bitbucket, se ha descargado 350 veces.
Se ha evaluado que las víctimas de estas campañas se encuentran principalmente en los Estados Unidos, Vietnam, Francia, Alemania, Eslovaquia, Austria, los Países Bajos y el Reino Unido.
Los hallazgos representan el último ejemplo de cómo los cibercriminales están apuntando a la popular plataforma social, que ha tenido su red de entrega de contenido (CDN) abusada de alojar malware en el pasado.
«Esta campaña ilustra cómo una característica sutil del sistema de invitación de Discord, la capacidad de reutilizar los códigos de invitación expirados o eliminados en los enlaces de invitación de vanidad, puede explotarse como un poderoso vector de ataque», dijeron los investigadores. «Al secuestrar los enlaces de invitación legítimos, los actores de amenaza redirigen silenciosamente a los usuarios desprevenidos a servidores de discordia maliciosos».
«La elección de las cargas útiles, incluido un poderoso robador específicamente dirigido a las billeteras de criptomonedas, sugiere que los atacantes se centran principalmente en los usuarios de criptografía y se motivan por la ganancia financiera».