Киберпреступники начали активно использовать уязвимость в системе приглашений Discord.
Как сообщили исследователи Check Point, злоумышленники перехватывают ранее действующие, но просроченные или удалённые инвайты на серверы и заменяют их на собственные, сохраняя оригинальные адреса.
Это позволяет им внедрять вредоносные ссылки на форумах, в соцсетях и других местах, где такие приглашения могли остаться в старых публикациях.
Попав на поддельный сервер, пользователь видит стандартную процедуру верификации. Бот с именем Safeguard предлагает нажать кнопку Verify, которая запускает процесс OAuth2 и ведёт на поддельный сайт. Там посетителю предлагают "починить" капчу с помощью команды PowerShell, тем самым запускается заражение.
Атака разворачивается в несколько этапов: злоумышленники используют Pastebin, GitHub и Bitbucket для доставки вредоносных скриптов. В результате на компьютер попадает AsyncRAT, инструмент для удалённого управления, а также модифицированная версия Skuld Stealer, предназначенная для кражи учётных данных и криптокошельков.
По словам исследователей, основная цель кампаний - геймеры. Вредоносное ПО маскируется под инструменты для взлома контента, например, под "разблокировщик дополнений" для The Sims 4. Один такой файл под названием Sims4-Unlocker.zip был скачан более 350 раз.
Эти вирусы также могут обходить антивирусы с помощь отсроченного выполнения, проверки аргументов запуска и фрагментацию заражения на этапы. Это позволяет ему оставаться незамеченным и получить доступ к чувствительным данным.
Исследователи рекомендуют быть особенно осторожными с Discord-ссылками, особенно если они размещены в старых постах.
Ранее мы рассказывали, что Apple сообщила об атаках хакеров на iPhone в 100 странах. Есть ли среди этих стран Украина, неизвестно.
