Discord-Einladungslink-Hijacking: Bedrohung für Krypto-Wallets

LONDON (IT BOLTWISE) – Eine neue Malware-Kampagne nutzt eine Schwachstelle im Einladungssystem von Discord aus, um Informationen zu stehlen und Trojaner zu verbreiten.

Eine kürzlich entdeckte Malware-Kampagne zielt darauf ab, eine Schwachstelle im Einladungssystem von Discord auszunutzen, um den Informationsdieb Skuld und den Remote-Access-Trojaner AsyncRAT zu verbreiten. Angreifer kapern dabei Einladungslinks durch die Registrierung von Vanity-Links, was ihnen ermöglicht, Nutzer unbemerkt von vertrauenswürdigen Quellen auf bösartige Server umzuleiten. Diese Technik nutzt die Tatsache aus, dass Discord es ermöglicht, abgelaufene oder gelöschte Einladungslinks zu kapern und für eigene Zwecke zu verwenden.

Die Angreifer kombinieren dabei die ClickFix-Phishing-Technik mit mehrstufigen Loadern und zeitbasierten Ausweichmanövern, um AsyncRAT und einen angepassten Skuld Stealer, der auf Krypto-Wallets abzielt, unauffällig zu verbreiten. Diese Methode stellt ein erhebliches Risiko dar, da Nutzer, die zuvor vertrauenswürdige Einladungslinks folgen, unwissentlich auf gefälschte Discord-Server umgeleitet werden können, die von Bedrohungsakteuren erstellt wurden.

Die Kampagne wurde nur einen Monat nach der Enthüllung einer anderen ausgeklügelten Phishing-Kampagne bekannt, die abgelaufene Vanity-Einladungslinks nutzte, um Nutzer dazu zu verleiten, einem Discord-Server beizutreten und eine Phishing-Seite zu besuchen, um ihre digitale Identität zu verifizieren. Dabei wurden ihre digitalen Vermögenswerte beim Verbinden ihrer Wallets abgezogen.

Discord ermöglicht es Nutzern, temporäre, permanente oder benutzerdefinierte (Vanity) Einladungslinks zu erstellen. Die Plattform verhindert jedoch, dass andere legitime Server einen zuvor abgelaufenen oder gelöschten Einladungslink zurückfordern. Check Point fand heraus, dass das Erstellen benutzerdefinierter Einladungslinks die Wiederverwendung abgelaufener Einladungs-Codes und in einigen Fällen sogar gelöschter permanenter Einladungs-Codes ermöglicht. Diese Möglichkeit öffnet Tür und Tor für Missbrauch, da Angreifer diese für ihren bösartigen Server beanspruchen können.

Im Kern dieser Angriffe liegt ein sorgfältig konstruierter, mehrstufiger Infektionsprozess, der sowohl Präzision als auch Tarnung vereint und gleichzeitig Schritte unternimmt, um Sicherheitsvorkehrungen durch Sandbox-Sicherheitsprüfungen zu unterlaufen. AsyncRAT, das umfassende Fernsteuerungsmöglichkeiten über infizierte Systeme bietet, verwendet eine Technik namens Dead Drop Resolver, um auf den eigentlichen Command-and-Control (C2)-Server zuzugreifen, indem es eine Pastebin-Datei liest.

Der andere Payload ist ein Golang-Informationsdieb, der von Bitbucket heruntergeladen wird. Er ist darauf ausgelegt, sensible Benutzerdaten von Discord, verschiedenen Browsern, Krypto-Wallets und Gaming-Plattformen zu stehlen. Skuld ist auch in der Lage, Krypto-Wallet-Seed-Phrasen und Passwörter von den Exodus- und Atomic-Krypto-Wallets zu ernten. Dies wird durch eine Methode namens Wallet-Injection erreicht, bei der legitime Anwendungsdateien durch trojanisierte Versionen ersetzt werden, die von GitHub heruntergeladen werden.

Es ist bemerkenswert, dass eine ähnliche Technik kürzlich von einem bösartigen npm-Paket namens pdf-to-office verwendet wurde. Der Angriff nutzt auch eine angepasste Version eines Open-Source-Tools namens ChromeKatz, um die App-gebundene Verschlüsselung von Chrome zu umgehen. Die gesammelten Daten werden über einen Discord-Webhook an die Angreifer exfiltriert. Die Tatsache, dass die Payload-Bereitstellung und die Datenexfiltration über vertrauenswürdige Cloud-Dienste wie GitHub, Bitbucket, Pastebin und Discord erfolgen, ermöglicht es den Bedrohungsakteuren, sich im normalen Datenverkehr zu verstecken und unter dem Radar zu bleiben.

Discord hat seitdem den bösartigen Bot deaktiviert und damit die Angriffskette effektiv unterbrochen. Check Point identifizierte auch eine weitere Kampagne desselben Bedrohungsakteurs, die den Loader als modifizierte Version eines Hacktools zur Freischaltung von Raubkopien verbreitet. Das bösartige Programm, das ebenfalls auf Bitbucket gehostet wird, wurde 350 Mal heruntergeladen. Es wird angenommen, dass die Opfer dieser Kampagnen hauptsächlich in den USA, Vietnam, Frankreich, Deutschland, der Slowakei, Österreich, den Niederlanden und dem Vereinigten Königreich ansässig sind.

Diese Kampagne zeigt, wie eine subtile Funktion des Discord-Einladungssystems, die Möglichkeit, abgelaufene oder gelöschte Einladungs-Codes in Vanity-Einladungslinks wiederzuverwenden, als mächtiger Angriffsvektor ausgenutzt werden kann. Durch das Kapern legitimer Einladungslinks leiten Bedrohungsakteure ahnungslose Nutzer stillschweigend auf bösartige Discord-Server um. Die Wahl der Payloads, einschließlich eines leistungsstarken Stealers, der speziell auf Kryptowährungs-Wallets abzielt, deutet darauf hin, dass die Angreifer in erster Linie auf Krypto-Nutzer abzielen und finanziell motiviert sind.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!