От доверия к угрозе: как хакеры используют Discord для скрытой доставки вредоносного ПО

Злоумышленники регистрируют ссылки, ранее принадлежавшие доверенным сообществам, с помощью функции Discord Vanity URL. После этого пользователи, переходя по старым ссылкам, автоматически попадают на серверы, контролируемые хакерами.

Многоэтапная атака

Вредоносная кампания сочетает несколько техник:

• ClickFix - фишинговая схема, имитирующая проверку CAPTCHA.
• Многоэтапные загрузчики - скрытно доставляют вредоносные программы.
• Обход защиты времени - задержка выполнения вредоносного кода для уклонения от анализа в песочницах.

Целевые угрозы

Основные вредоносные программы, используемые в атаке:

• AsyncRAT - троян удаленного доступа, позволяющий злоумышленникам полностью контролировать систему.
• Skuld Stealer - специализированный стилер, нацеленный на криптокошельки.

Использование доверенных сервисов

Для доставки вредоносных нагрузок и кражи данных злоумышленники используют популярные облачные платформы: GitHub, Bitbucket, Pastebin и сам Discord. Это помогает атаке оставаться незамеченной, так как трафик выглядит легитимным.

Эволюция угрозы

Исследователи также обнаружили, что злоумышленники научились обходить защиту Chrome App Bound Encryption (ABE) с помощью модифицированного инструмента ChromeKatz, позволяющего красть куки из последних версий Chromium-браузеров.

Вывод

Атака демонстрирует, как доверенные платформы могут стать инструментами киберпреступников. Пользователям Discord рекомендуется избегать перехода по старым ссылкам-приглашениям и проверять актуальность серверов перед вступлением. Компании должны обновлять системы защиты и обучать сотрудников распознаванию фишинговых схем.

IPv4

• 101.99.76.120
• 185.234.247.8
• 87.120.127.37

Domains

• captchaguard.me
• microads.top

URLs

• https://bitbucket.org/htfhtthft/simshelper/downloads
• https://bitbucket.org/registryclean1/fefsed/downloads
• https://bitbucket.org/syscontrol6/syscontrol/downloads
• https://bitbucket.org/syscontrol6/syscontrol/downloads/AClient.exe
• https://bitbucket.org/syscontrol6/syscontrol/downloads/Rnr.exe
• https://bitbucket.org/syscontrol6/syscontrol/downloads/skul.exe
• https://bitbucket.org/updateservicesvar/serv/downloads
• https://bitbucket.org/updatevak/upd/downloads
• https://bitbucket.org/updatevak/upd/downloads/AClient.exe
• https://bitbucket.org/updatevak/upd/downloads/Rnr.exe
• https://bitbucket.org/updatevak/upd/downloads/skul.exe
• https://captchaguard.me/?key=
• https://discord.com/api/webhooks/1348629600560742462/RJgSAE7cYY-1eKMkl5EI-qZMuHaujnRBMVU_8zcIaMKyQi4mCVjc9R0zhDQ7wmPoD7Xp
• https://discord.com/api/webhooks/1355186248578502736/_RDywh_K6GQKXiM5T05ueXSSjYopg9nY6XFJo1o5Jnz6v9sih59A8p-6HkndI_nOTicO
• https://github.com/frfs1/update/raw/refs/heads/main/installer.exe
• https://github.com/gkwdw/wffaw/raw/refs/heads/main/installer.exe
• https://github.com/shisuh/update/raw/refs/heads/main/installer.exe
• https://pastebin.com/raw/ftknPNF7
• https://pastebin.com/raw/NYpQCL7y
• https://pastebin.com/raw/QdseGsQL
• https://pastebin.com/raw/zW0L2z2M

SHA256

• 160eda7ad14610d93f28b7dee20501028c1a9d4f5dc0437794ccfc2604807693
• 375fa2e3e936d05131ee71c5a72d1b703e58ec00ae103bbea552c031d3bfbdbe
• 53b65b7c38e3d3fca465c547a8c1acc53c8723877c6884f8c3495ff8ccc94fbe
• 5d0509f68a9b7c415a726be75a078180e3f02e59866f193b0a99eee8e39c874f
• 670be5b8c7fcd6e2920a4929fcaa380b1b0750bfa27336991a483c0c0221236a
• 673090abada8ca47419a5dbc37c5443fe990973613981ce622f30e83683dc932
• 8135f126764592be3df17200f49140bfb546ec1b2c34a153aa509465406cb46c
• d54fa589708546eca500fbeea44363443b86f2617c15c8f7603ff4fb05d494c1
• db1aa52842247fc3e726b339f7f4911491836b0931c322d1d2ab218ac5a4fb08
• ef8c2f3c36fff5fccad806af47ded1fd53ad3e7ae22673e28e541460ff0db49c
• f08676eeb489087bc0e47bd08a3f7c4b57ef5941698bc09d30857c650763859c