Los piratas informáticos usan enlaces de invitación de discordia para entregar malware

Se ha descubierto una nueva campaña de malware dirigido a usuarios de criptografía a través de enlaces de invitación de discordia. Según la información, el nuevo malware explota una debilidad en el sistema de invitación de Discord para entregar un robador de información conocido como Skuld y el troyano de acceso remoto de Asyncrat.

En un informe de Check Point, la plataforma mencionó que los atacantes secuestran los enlaces a través del registro de enlaces de vanidad, lo que les permite redirigir fácilmente a los usuarios de fuentes de confianza a servidores maliciosos.

"Los atacantes combinaron la técnica de phishing de ClickFix, los cargadores de varias etapas y las evasiones basadas en el tiempo para entregar sigilosamente a Asyncrat, y un robador de Skuld personalizado dirigido a las billeteras criptográficas", dijo Check Point.

Según la plataforma, uno de los usos del mecanismo de invitación de Discord es que permite a los atacantes secuestrar o eliminar los enlaces de invitación y redirigir secretamente a los usuarios desprevenidos a diferentes servidores maliciosos bajo su control. Esto significa que un enlace de invitación de Discord, que anteriormente se compartió para un propósito legítimo en las redes sociales y otros foros podría usarse para llevar a los usuarios a sus servidores y plataformas maliciosas.

Discord Invite Link secuestrado para fines maliciosos

Este desarrollo se produce poco más de un mes después de que la firma de ciberseguridad reveló otra sofisticada campaña de phishing que secuestró los enlaces de tocador expirados para atraer a los usuarios a unirse a un servidor de discordia, instruyendo a ellos que visiten un sitio de phishing para verificar la propiedad. Los actores maliciosos finalmente usaron la plataforma para obtener acceso ilegal a las billeteras digitales de los usuarios y drenar sus billeteras después de conectarlas.

Si bien los usuarios pueden crear enlaces de invitación temporales, permanentes o personalizados en Discord, la plataforma no permite que otros servidores legítimos recuperen un enlace de invitación previamente expirado o eliminado. Sin embargo, si un usuario crea un enlace personalizado, puede reutilizar los códigos de invitación caducados e incluso algunos códigos de invitación permanentes eliminados en algunos casos.

Esta capacidad de reutilizar códigos expirados o eliminados al crear enlaces de invitación de tocador personalizado permite a los delincuentes abusar de él, y la mayoría de ellos los reclaman por sus servidores maliciosos. "Esto crea un riesgo grave: los usuarios que siguen enlaces de invitación previamente confiables (por ejemplo, en sitios web, blogs o foros) pueden ser redirigidos a los servidores de discordia falsos creados por los actores de amenaza", dijo Check Point.

Según el informe, el secuestro de enlaces de invitación de Discord implica el uso de un enlace de invitación legítimo compartido por las comunidades para redirigir a los usuarios a un servidor malicioso. Se les pide a las víctimas de este esquema que completen un sello de verificación, que implica ingresar varios detalles para obtener acceso completo al servidor. Esto se hace autorizando un bot, lo que los lleva a un sitio web falso donde tienen el mandato de verificar la información proporcionada. Después de esto, los estafadores usan una táctica de ingeniería social para engañar a los usuarios para que infecten sus sistemas.

Los actores maliciosos roban frases de semillas de billetera con malware

Según el informe, el malware Skuld es capaz de cosechar frases de semillas de billetera criptográfica del éxodo y las billeteras de cripto atómicas. Realiza esta actividad utilizando un enfoque llamado inyección de billetera, reemplazando la versión original de los archivos de aplicación con versiones cargadas con troyanos descargados desde GitHub. Otra carga útil es un robador de información de Goland que se puede descargar desde Bitbucket. Se utiliza para robar datos confidenciales de Discord, varios navegadores, billeteras criptográficas y plataformas de juego.

Check Point agregó que también medentla entrada de otra campaña maliciosa que se llevaba a cabo por el mismo actor de amenaza, donde distribuyó el cargador como una versión modificada de una herramienta de pirateo para desbloquear jamones pirateados. El programa, según el informe, se ha descargado 350 veces en Bitbucket. Las víctimas de estas campañas se encuentran principalmente en los Estados Unidos, Francia, Eslovaquia, los Países Bajos, Austria, Vietnam y el Reino Unido.

Los hallazgos muestran el último ejemplo de cómo los cibercriminales han estado apuntando a la plataforma. "Esta campaña ilustra cómo una característica sutil del sistema de invitación de Discord, la capacidad de reutilizar los códigos de invitación expirados o eliminados en los enlaces de invitación de tocador, puede explotarse como un poderoso vector de ataque", dijeron los investigadores. "Al secuestrar los enlaces de invitación legítimos, los actores de amenaza redirigen silenciosamente a los usuarios desprevenidos a servidores de discordia maliciosos".

Key Difference Wire ayuda a las marcas criptográficas a romper y dominar los titulares rápidamente