Злоумышленники нашли способ использовать механизм создания ссылок-приглашений Discord для распространения вредоносных программ, сообщает блог «Лаборатории Касперского». В атаке применяются утилиты AsyncRAT и Skuld Stealer — первая обеспечивает удалённое управление заражённым компьютером, вторая предназначена для кражи криптовалютных кошельков. Вектором взлома становятся устаревшие или удалённые приглашения, маскирующиеся под легитимные ссылки.
Как поясняют специалисты компании, уязвимость заложена в системе обработки персонализированных ссылок-приглашений. При использовании определённых технических приёмов, таких как ClickFix, многоступенчатые загрузчики и отложенное выполнение, хакеры обходят защиту и незаметно доставляют вредоносный код.
Сначала пользователю предлагается перейти по, казалось бы, безобидной ссылке на Discord. Однако если код приглашения уже неактивен или сервер потерял привилегии третьего уровня, этот адрес становится доступным для повторного использования. Этим и пользуются атакующие: они создают собственный сервер, присваивают ему знакомый код и получают контроль над перенаправлением трафика на заражённую платформу.
В «Лаборатории Касперского» говорят, что подмена может быть незаметна. Ссылки могут быть размещены в старых публикациях, блогах, форумах или сообществах — туда, где пользователь уже привык доверять. Таким образом, переход осуществляется по адресу, визуально не вызывающему подозрений. После клика начинается внедрение AsyncRAT или Skuld Stealer.
Механизм персонализированных ссылок (vanity URLs) работает следующим образом: администратор сервера с третьим уровнем бонусов вручную задаёт код, уникальный в рамках всей платформы. Такие ссылки не имеют срока действия, но если сервер теряет привилегии, адрес освобождается и становится вновь доступным. Именно этот момент используется для захвата кода и установки вредоносного ПО.
В компании объясняют, что существует несколько видов ссылок: временные (с ограниченным сроком действия), постоянные (действуют бессрочно) и персональные (vanity-ссылки), которые можно кастомизировать. Все они по-разному взаимодействуют с механизмами безопасности, что и создаёт возможности для атаки.
Специалисты предупреждают, что даже изменение регистра букв в ссылке не спасает — система перенаправит пользователя автоматически. Это даёт преступникам возможность ввести в заблуждение даже опытного пользователя, визуально сохранив структуру оригинального приглашения.
Оригинал публикации на сайте CISOCLUB: ""Лаборатория Касперского" предупредила, что хакеры перенаправляют пользователей через Discord-ссылки и заражают вредоносным ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.