حملة البرمجيات الخبيثة تختطف روابط ديسكورد القديمة لاختراق مستخدمي العملات المشفرة

يقوم القراصنة بالاستيلاء على روابط دعوة Discord المنتهية لخداع المستخدمين وجعلهم يقعون فريسة للبرامج الخبيثة التي تسرق محافظ العملات المشفرة وتتجاوز أدوات أمان المتصفح.

وفقًا لفريق البحث في CheckPoint، يستخدم المجرمون الإلكترونيون روابط دعوة منتهية الصلاحية لـ Discord لقيادة المستخدمين نحو خوادم ضارة تؤدي إلى إصابات متقدمة ببرامج الفدية الخبيثة.

يقوم المهاجمون بالسيطرة على روابط الدعوة السابقة، والتي كانت تنتمي إلى مجتمعات موثوقة، لإرسال المستخدمين إلى خوادم Discord المزيفة. تخدع الخوادم المزيفة لـ Discord المستخدمين لتحميل برامج ضارة خطيرة، بما في ذلك AsyncRAT و Skuld Stealer، وهي برامج ضارة تستهدف محافظ العملات المشفرة.

يستغل المهاجمون كيفية إنشاء Discord لروابط الدعوة باستخدام قدرات الربط المؤقتة والدائمة. يحصل المهاجمون على الوصول إلى الروابط المهملة عن طريق المطالبة بإعادتها لتعيين خوادم Discord الضارة.

بهذه الطريقة، يتم توجيه المستخدمين الذين ينقرون على ما يبدو أنه دعوات صالحة من وسائل التواصل الاجتماعي أو المنشورات القديمة تلقائياً إلى خوادم ضارة تحت سيطرة القراصنة.

داخل هذه الخوادم الزائفة، يواجه المستخدمون بوت يدعى “Safeguard” يقدم عملية تحقق زائفة. بعد أن يبدأ المستخدمون عملية التحقق، يصلون إلى موقع ويب للصيد الاحتيالي، الذي يشغل أمرًا خطيرًا عبر PowerShell.

تقوم الأوامر بجلب البرامج الخبيثة من GitHub، بالإضافة إلى منصات Bitbucket و Pastebin، من أجل جعل العملية تتداخل مع حركة الويب القياسية.

ينفذ البرنامج الخبيث مراحل متعددة لتجنب أنظمة الكشف. يعمل رابط GitHub كهدف أول لتحميل نص PowerShell. يسترجع المُحمّل البرنامج الخبيث المشفر من Bitbucket قبل فك تشفيره للتثبيت على نظام الكمبيوتر الخاص بالمستخدم.

الأحمال النهائية – AsyncRAT و Skuld Stealer – تمكن المهاجمين من التحكم عن بُعد في الأنظمة وسرقة المعلومات المهمة، بما في ذلك بيانات اعتماد المستخدم، بالإضافة إلى تفاصيل محفظة العملات المشفرة من تطبيقات Exodus و Atomic. يطبق البرنامج الضار تأخيرات زمنية تصل إلى 15 دقيقة، لتجنب الأنظمة الأمنية الآلية.

بالإضافة إلى ذلك، اكتشف المهاجمون الإلكترونيون طريقة للتغلب على الحماية التي يوفرها تشفير التطبيق المرتبط بـ Google Chrome للكوكيز. قام المهاجمون بتعديل ChromeKatz لتمكين استخراج مباشر لكوكيز تسجيل الدخول من ذاكرة متصفحات Chrome، و Edge، و Brave.

تعرض المستخدمون في جميع أنحاء الولايات المتحدة، بالإضافة إلى فيتنام، فرنسا، وألمانيا، وغيرها من الدول الأخرى، لهجمات استهدفتهم. يبدو أن المهاجمين يستهدفون مستخدمي العملات المشفرة خصيصًا لأن برمجيتهم الخبيثة تستهدف بشكل خاص بيانات الاعتماد الخاصة بالمحافظ والعبارات الاستعادية.

يعتقد الباحثون أن المجرمين الإلكترونيين سيطورون طرقًا جديدة رغم تعطيل Discord للروبوت الخاص الذي استخدم في هذه الحملة. يجب على المستخدمين حماية أنفسهم من مثل هذه الهجمات عن طريق تجنب دعوات Discord القديمة، مع توخي الحذر تجاه طلبات التحقق والحفاظ على برنامج مكافحة الفيروسات الحالي.