Így működik az új támadás
Ebben a módszerben a hackerek régi, megbízható linkeket kaparintanak meg, majd azokat átirányítják saját, rosszindulatú Discord-szervereikre. Ezek a linkek gyakran régi fórumokon, közösségi oldalakon vagy posztokban maradnak fenn, így a felhasználók mit sem sejtve kattintanak rájuk, és egyből a támadók által üzemeltetett szervereken találják magukat.
Átverős hitelesítés és rejtett kártevő
A hamis szerveren egy bot, általában Safeguard néven, felszólítja a felhasználót, hogy kattintson a Verify gombra, ami elindít egy OAuth2 folyamatot, majd egy adathalász oldalra irányítja át. Itt egy ClickFix néven ismert módszerrel ráveszik a látogatót, hogy PowerShell-parancsot futtasson le – azt állítják, hogy erre a CAPTCHA kijavításához van szükség. Valójában ez elindítja a kártevőláncot, amely felhőszolgáltatásokat (Pastebin, GitHub, Bitbucket) használ a káros kód többszintű terjesztésére, így beleolvad a normál hálózati forgalomba.
A fő célok: jelszavak és kriptotárcák
A letöltött kártevők között ott van az AsyncRAT (távoli elérés), illetve egy egyedi Skuld Stealer, amely mindenféle hitelesítő adatot és kriptotárca-információt képes megszerezni. Különösen a játékosok vannak veszélyben: népszerű hamis eszközökkel, például A Sims 4 DLC feloldókkal (The Sims 4 DLC unlockers) terjesztik a fertőzéseket – egy Sims4-Unlocker.zip nevű archívumot már több mint 350-szer töltöttek le.
Hogyan védekezz?
A támadók fejlett elkerülési trükköket alkalmaznak, például késleltetett futtatást és parancssori argumentumellenőrzést, így a legtöbb biztonsági szoftver sem veszi észre őket. A Skuld Stealer képes a kriptotárcák seed phrase-eit és jelszavait is megszerezni, ami teljes digitális vagyonvesztést okozhat. Érdemes erős monitorozó szolgáltatásokat használni, hogy időben értesülhess adataid illetéktelen használatáról. Mindig legyél gyanakvó a régi Discord-meghívó linkekkel szemben, és soha ne futtass váratlan szkripteket, vagy kattints gyanús hitelesítési gombokra.
