Исследователи из компании Check Point зафиксировали необычную кампанию с использованием слабых мест в механизме приглашений Discord. Злоумышленники научились эксплуатировать просроченные или удалённые ссылки для перенаправления пользователей на вредоносные сайты. На этих ресурсах развёрнуты инструменты удалённого доступа и компоненты для кражи данных с заражённых устройств.
Основу схемы составляет поведение Discord при обработке пригласительных ссылок. Каждая такая ссылка содержит уникальный код, предоставляющий доступ к конкретному серверу. Серверы, достигшие уровня 3, могут устанавливать персонализированные ссылки — их ещё называют тщеславными. Эти адреса не случайны и часто ассоциируются с брендом или сообществом.
После потери повышенного статуса персонализированный код высвобождается и становится доступным для использования другим сервером. Хакеры используют это поведение, чтобы выдать вредоносную площадку за прежнее сообщество, в том числе перенаправляя пользователей, которые ранее сохраняли старую ссылку в закладках или делились ею.
Check Point подчёркивает, что даже в случае истечения срока действия временного приглашения или удаления постоянной ссылки, идентификатор может быть зарегистрирован заново и использоваться без каких-либо ограничений. Это особенно опасно для пользователей, считающих такие ссылки недействительными.
Дополнительную угрозу создаёт особенность Discord, связанная с регистром символов. Если код содержит заглавные буквы, его можно зарегистрировать и использовать в виде нового URL, несмотря на наличие активного кода в нижнем регистре. Таким образом, одна и та же комбинация символов может служить адресом сразу для двух серверов — оригинального и захваченного.
Check Point объясняет, что платформа Discord хранит и обрабатывает ссылки в нижнем регистре, а это значит, что один и тот же код в двух разных регистрах рассматривается как независимые сущности. Это позволяет злоумышленникам перехватывать трафик пользователей, не вызывая подозрений.
Исследователи подчёркивают, что в ряде зафиксированных случаев атаки включали многоэтапные методы заражения. Вредоносный код обходил антивирусные системы, а загрузка вредоносных модулей происходила по цепочке. Учитывая доверие к известным ссылкам и внешнее сходство URL, пользователи становились лёгкой мишенью для фишинга и заражения.
Оригинал публикации на сайте CISOCLUB: "Уязвимость в системе приглашений Discord открывает хакерам доступ к повторному использованию ссылок для распространения вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.