Серія нещодавніх інцидентів поставила Розбіжності в центрі дискусії щодо кібербезпекиВід шахрайства, яке маніпулює довірою користувачів, до нових сімейств шкідливих програм, що ховаються за легітимним трафіком, платформа знову стала мішенню як для зловмисників, так і для аналітиків.
Найвідомішим випадком був випадок криптотворця, відомого як принцеса Хайпіо, яка втратила близько 170.000 XNUMX доларів США у криптовалютах та NFT після того, як погодилася пограти з нібито другом у Steam. Поки вона розважалася, шахрай проник у її команду та скомпрометував її Discord, тактика, яка, за повідомленнями спільноти, поширюється вже багато років під назвою «Спробуй мою гру".
Шахрайство «Спробуй мою гру» проникає на сервери
Схема повторюється: нападники приєднуються до Сервер Discord, вони спостерігають, вони звертають увагу на динаміку І коли вони ідентифікують ціль з криптоактивами або NFT, вони ініціюють підхід. Щоб завоювати довіру, вони ставлять запитання та виявляють інтерес до того, що цінує жертва, як це сталося з NFT Міледі що зробило користувача пріоритетною ціллю.
Після цієї фази довіри наступним кроком є запрошення їх «спробувати гру» та надсилання посилання, яке перенаправляє на шкідливий серверНазва може бути легітимною, але хостинг містить трояна, який відкриває шлях до крадіжки даних, паролів та підключених гаманців. У випадку з Princess Hypio, скомпрометованим елементом був сервер завантаження.
Цей тип засідки, про який повідомляли кілька користувачів на спеціалізованих форумах та Reddit, став більш поширеним, аж до того, що Discord... посилила свою позицію проти шахрайських практик і пам’ятайте, що просування фінансових шахрайств порушує їхні умови використання.
Такі експерти, як Нік Перкоко, керівник відділу безпеки Kraken, наголошують, що ці шахрайства Вони менше покладаються на технічні вразливості, ніж на довіру.Злочинці наслідують друзів, створюють невідкладність і підштовхують людей до прийняття поспішних рішень. Рекомендація: «Будьте підозрілими за замовчуванням і перевіряйте через інший канал».
Викрадач Inf0s3c: Крадіжка даних через Discord
Паралельно з кампаніями соціальної інженерії, дослідники Cyfirma визначили Викрадач Inf0s3c, програма для крадіжки інформації, написана на Python, яка атакує комп’ютери Windows та витягує дані за допомогою каналів/вебхуків DiscordПоєднання класичних методів розвідки із сучасними каналами зв'язку дозволяє йому легко маскуватися.
64-бітний виконуваний файл демонструє подвійне пакування: спочатку з UPX а потім с PyInstaller, що ускладнює отримання сигнатур та перешкоджає зворотному аналізу. Маючи розмір приблизно 6,8 МБ та високу ентропію (близько 8), це показує інтенсивне заплутування щоб уникнути статичних інструментів.
Під час виконання він реконструює вбудований байт-код і створює свою робочу область під % TEMP%Запускає власні команди, такі як SystemInfo y Getmac, а також системні API (наприклад, для ідентифікації токенів та хостів), щоб профілювати апаратне забезпечення, ключ продукту та параметри мережі.
Потім він переглядає папки користувача (Робочий стіл, Документи, Завантаження тощо) з ієрархічними списками та захоплення екранів за допомогою GDI+; якщо дозволяє середовище, він також намагається отримати зображення з веб-камери. Все це організовано в тематичні каталоги (Система, Каталоги, Облікові дані) для остаточного пакування.
Майстерний штрих настає в кінці: екстракт облікові дані браузера (файли cookie, автозаповнення та історія), паролі Wi-Fi та сесії/токени з таких програм, як Discord, Telegram, криптогаманців та ігрових платформ (Steam, Epic, Roblox або Minecraft). Потім створіть захищений паролем RAR-архів (файл типу Blank-WDAGUtilityAccount.rar, ключ «blank123») та завантажує його через вебхук Discord з назвою «Blank Grabber», змішуючи крадіжку з легітимний HTTPS-трафік.
Наполегливість та ухилення, гідні APT
Щоб залишитися в системі, викрадач Inf0s3c копіюється до папки автозавантаження Windows з розширенням .scr (замаскованим під заставку) за допомогою процедури типу PutInStartup та може покладатися на функції безпеки системи для зменшення тертя з UAC. Цей маневр гарантує його виконання при кожному запуску.
Ухиляючись, виконуйте перевірки на наявність віртуальних машин та налагодження (наприклад, перевірка BIOS та синхронізація за допомогою QueryPerformanceFrequency), блокує антивірусні домени, включає режим «плавлення» для самознищення після операції та «заглушку насоса», яка збільшує розмір двійкового файлу, щоб обійти евристику на основі розміру.
Вилучення через Discord API дозволяє уникнути потреби в традиційному C2: файл передається так, ніби це звичайний контент, що зменшує видимість для систем моніторингу які не перевіряють зашифровані або не заблоковані вкладення.
Що ви можете зробити, щоб захистити себе
Перед обличчям кампаній, що вибухають впевненість та допитливість, рекомендується бути вкрай обережним: остерігайтеся запрошень завантажувати «ігри» або виконувані файли, підтверджуйте особи через інший канал і пам’ятайте, що у разі сумнівів рішення не натискати кнопку є правильним.
- Розгортає захист кінцевих точок на основі поведінки, здатний розпакувати PyInstaller та виявляти аномальне використання компресорів (UPX, RAR).
- Застосувати фільтрація виходу блокувати несанкціоновані вебхуки Discord та відстежувати незвичайні HTTP-вкладення до доменів на платформі.
- Активуйте PowerShell та ведення журналу командного рядка (systeminfo, getmac, tasklist, tree тощо) та створює сповіщення про шаблони розпізнавання.
- Забезпечити виконання принцип найменших привілеїв, перевіряє зміни в реєстрі та папці автозавантаження, а також підтримує актуальність правил YARA (наприклад, від Cyfirma).
- підсилює сегментація мережі, резервне копіювання офлайн та навчання проти фішингу та соціальної інженерії.
Панорама показує два фронти, що сходяться на одній платформі: хитрощі, які переконають вас запускати програмне забезпечення і сучасний викрадач, який використовує власні канали Discord для вилучення інформації. Завдяки обачній поведінці, контролю виходу та точно налаштованій телеметрії можна зменшити вплив цих кампаній і ускладнити життя тим, хто намагається перетворити наші спільноти на свій наступний приз.