احیای دعوتنامههای منقضی شده دیسکورد
لینکهای دعوت دیسکورد آدرسهایی هستند که به افراد اجازه میدهند به یک سرور خاص دیسکورد بپیوندند. این لینکها حاوی کد دعوت هستند که شناسه منحصر به فردی برای دسترسی به سرور محسوب میشوند و میتوانند موقت، دائمی یا سفارشی باشند. لینکهای سفارشی برای سرورهای سطح ۳ که هزینه امتیازات ویژه را پرداخت میکنند، در دسترس هستند.
مدیران سرورهای سطح ۳ دیسکورد میتوانند کد دعوت شخصیسازی شده ایجاد کنند. برای سرورهای معمولی، دیسکورد به طور خودکار لینکهای دعوت تصادفی تولید میکند و احتمال تکرار آنها بسیار کم است.
هکرها متوجه شدهاند که وقتی یک سرور سطح ۳ وضعیت تقویت خود را از دست میدهد، کد دعوت سفارشی در دسترس قرار میگیرد و میتواند توسط سرور دیگری مورد استفاده قرار گیرد. محققان شرکت امنیت سایبری Check Point میگویند این موضوع در مورد دعوتنامههای موقت منقضی شده یا لینکهای دعوت دائمی حذف شده نیز صدق میکند.
آنها میگویند: “مکانیزم ایجاد لینکهای دعوت سفارشی به طور شگفتانگیزی اجازه میدهد کدهای دعوت موقت منقضی شده و در برخی موارد، کدهای دعوت دائمی حذف شده را دوباره استفاده کنید.”
علاوه بر این، محققان میگویند مکانیزم معیوب دیسکورد زمان انقضای کد دعوت موقت تولید شده قبلی را هنگام استفاده مجدد به عنوان لینک دعوت دائمی تغییر نمیدهد.
Check Point توضیح میدهد: “کاربران اغلب به اشتباه فکر میکنند که با علامت زدن این گزینه، دعوت موجود را دائمی کردهاند و همین سوءتفاهم در حملهای که مشاهده کردیم مورد سوءاستفاده قرار گرفت.”
کد دعوت با حروف کوچک و ارقام تا زمانی که فعال است قابل ثبت نیست. اما اگر کد دارای حروف بزرگ باشد، میتواند در لینکهای سفارشی با حروف کوچک استفاده شود، حتی اگر کد اصلی همچنان معتبر باشد. محققان Check Point توضیح میدهند که این امکانپذیر است زیرا دیسکورد لینکهای سفارشی را با حروف کوچک ذخیره و مقایسه میکند. در نتیجه، همان کد با حروف کوچک و بزرگ برای دو سرور جداگانه به طور همزمان معتبر است.
هدایت به سرورهای مخرب
مهاجمان دعوتنامههای دیسکورد حذف شده یا منقضی شده را رصد میکنند و از آنها در کمپینی استفاده میکنند که بر اساس شمارش دانلود بارهای مخرب توسط Check Point، بر ۱۳۰۰ کاربر در آمریکا، بریتانیا، فرانسه، هلند و آلمان تأثیر گذاشته است.
محققان میگویند که مجرمان سایبری لینکهای دعوت دیسکورد را از جوامع قانونی میربایند و آنها را در شبکههای اجتماعی یا وبسایتهای رسمی جامعه به اشتراک میگذارند. برای افزودن اعتبار به این فریب، هکرها سرورهای مخرب را طوری طراحی میکنند که معتبر به نظر برسند.
سرورهای مخرب دیسکورد فقط یک کانال به نام #verify را به بازدیدکننده نشان میدهند و یک ربات از کاربر میخواهد که فرآیند تأیید هویت را انجام دهد.
تلاش برای انجام این کار یک حمله معمولی ‘ClickFix’ را راهاندازی میکند که در آن کاربر به وبسایتی هدایت میشود که رابط کاربری دیسکورد را تقلید میکند و وانمود میکند که CAPTCHA بارگذاری نشده است. کاربران فریب میخورند تا به صورت دستی پنجره Run ویندوز را باز کنند و دستور PowerShell را که قبلاً در کلیپبورد کپی شده، جایگذاری کنند.
انجام این کار یک عفونت چند مرحلهای شامل دانلودکنندههای PowerShell، بارگذارهای C++ مبهم و فایلهای VBScript را آغاز میکند. بارهای نهایی از سرویس همکاری نرمافزاری و میزبانی فایل قانونی Bitbucket دانلود میشوند و شامل موارد زیر هستند:
AsyncRAT: با نام ‘AClient.exe’ تحویل داده میشود، این نسخه ۰.۵.۸ بدافزار است که از Pastebin برای دریافت آدرس C2 خود به صورت پویا استفاده میکند. قابلیتهای آن شامل عملیات فایل، ثبت کلیدها و دسترسی به وبکم/میکروفون است.
Skuld Stealer: با نام ‘skul.exe’ تحویل داده میشود، این یک سارق اطلاعات است که اعتبارنامههای مرورگر، کوکیها، توکنهای دیسکورد و دادههای کیف پول ارز دیجیتال را هدف قرار میدهد.
ChromeKatz: نسخه سفارشی از ابزار متنباز که با نام ‘cks.exe’ تحویل داده میشود و میتواند کوکیها و رمزهای عبور را بدزدد.
محققان کشف کردند که یک وظیفه زمانبندی شده نیز به میزبان اضافه میشود تا بارگذار بدافزار را هر پنج دقیقه دوباره اجرا کند.
برای دفاع در برابر این تهدید، توصیه میشود کاربران دیسکورد از اعتماد به لینکهای دعوت قدیمی، بهویژه آنهایی که از پستهای ماهها قبل هستند، خودداری کنند، با درخواستهای “تأیید هویت” با احتیاط بیشتری برخورد کنند و هرگز دستورات PowerShell کپی شدهای را که کاملاً درک نمیکنند، اجرا نکنند.
همچنین به مدیران سرور دیسکورد توصیه میشود از دعوتنامههای دائمی استفاده کنند که ربودن آنها دشوارتر است.
کلمات کلیدی : هکرهای دیسکورد, لینک دعوت منقضی شده, بدافزار دسترسی از راه دور, سرقت اطلاعات دیسکورد, حمله ClickFix, AsyncRAT
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.