Một loạt các sự cố gần đây đã đặt Discord là trung tâm của cuộc tranh luận về an ninh mạngTừ những trò lừa đảo thao túng lòng tin của người dùng cho đến các nhóm phần mềm độc hại mới ẩn sau lưu lượng truy cập hợp pháp, nền tảng này một lần nữa trở thành mục tiêu của cả kẻ tấn công và nhà phân tích.
Trường hợp nổi tiếng nhất là trường hợp của một người sáng tạo tiền điện tử, được gọi là Công chúa Hypio, người đã mất khoảng 170.000 đô la tiền điện tử và NFT sau khi đồng ý chơi với một người bạn giả danh trên Steam. Trong lúc cô ấy đang vui vẻ, kẻ lừa đảo đã xâm nhập vào nhóm của cô ấy và chiếm đoạt Discord của cô ấy, một chiến thuật mà theo báo cáo của cộng đồng, đã được lan truyền trong nhiều năm dưới cái tên "Hãy thử trò chơi của tôi".
Trò lừa đảo "Hãy thử trò chơi của tôi" xâm nhập vào máy chủ
Mẫu hình này lặp lại: những kẻ tấn công tham gia vào một Máy chủ Discord, họ quan sát, họ ghi nhận các động lực Và khi chúng xác định được mục tiêu có tài sản tiền điện tử hoặc NFT, chúng sẽ bắt đầu tiếp cận. Để chiếm được lòng tin, chúng đặt câu hỏi và thể hiện sự quan tâm đến những gì nạn nhân coi trọng, như đã xảy ra với một quý cô NFT khiến người dùng trở thành mục tiêu ưu tiên.
Sau giai đoạn tin tưởng này, bước tiếp theo là mời họ "thử một trò chơi" và gửi một liên kết chuyển hướng đến một máy chủ độc hạiTiêu đề có thể hợp lệ, nhưng máy chủ lưu trữ lại chứa một Trojan mở đường cho việc đánh cắp dữ liệu, mật khẩu và ví được kết nối. Trong trường hợp của Princess Hypio, máy chủ tải xuống chính là yếu tố bị xâm phạm.
Loại phục kích này, mà một số người dùng đã báo cáo trên các diễn đàn chuyên ngành và Reddit, đã trở nên phổ biến hơn, đến mức Discord đã tăng cường lập trường chống lại các hành vi lừa đảo và hãy nhớ rằng việc quảng bá các trò lừa đảo tài chính sẽ vi phạm các điều khoản sử dụng của họ.
Các chuyên gia như Nick Percoco, người đứng đầu bộ phận an ninh tại Kraken, nhấn mạnh rằng những vụ gian lận này Họ dựa vào lòng tin nhiều hơn là vào lỗ hổng kỹ thuật.Tội phạm bắt chước bạn bè, tạo cảm giác cấp bách và thúc đẩy mọi người đưa ra quyết định vội vàng. Khuyến nghị: "Hãy mặc định nghi ngờ và kiểm tra qua kênh khác."
Kẻ đánh cắp Inf0s3c: Đánh cắp dữ liệu qua Discord
Song song với các chiến dịch kỹ thuật xã hội, các nhà nghiên cứu Cyfirma đã xác định Kẻ đánh cắp Inf0s3c, một kẻ đánh cắp thông tin được viết bằng Python tấn công máy tính Windows và trích xuất dữ liệu bằng kênh Discord/webhooksSự kết hợp giữa các kỹ thuật trinh sát cổ điển với các kênh liên lạc hiện đại cho phép nó ngụy trang một cách dễ dàng.
Tệp thực thi 64-bit hiển thị gói kép: đầu tiên với LÊN và sau đó với Trình cài đặt Py, điều này gây khó khăn cho việc tạo chữ ký và cản trở việc phân tích ngược. Với kích thước khoảng 6,8 MB và entropy cao (khoảng 8), nó cho thấy sự che giấu dữ dội để tránh các công cụ tĩnh.
Khi được thực thi, nó sẽ tái tạo lại mã byte được nhúng và tạo không gian làm việc của nó bên dưới % TEMP%. Khởi chạy các lệnh gốc như systeminfo y getmaccũng như API hệ thống (ví dụ: mã thông báo và danh tính máy chủ) để lập hồ sơ phần cứng, khóa sản phẩm và các tham số mạng.
Sau đó, nó sẽ duyệt qua các thư mục người dùng (Máy tính để bàn, Tài liệu, Tải xuống, v.v.) với danh sách phân cấp và chụp màn hình bằng GDI+; nếu môi trường cho phép, nó cũng cố gắng lấy hình ảnh từ webcam. Tất cả được sắp xếp thành các thư mục theo chủ đề (Hệ thống, Thư mục, Thông tin xác thực) để đóng gói cuối cùng.
Đòn quyết định đến ở phần cuối: trích xuất thông tin đăng nhập trình duyệt (cookie, tự động hoàn thành và lịch sử), mật khẩu Wi-Fi và phiên/mã thông báo từ các ứng dụng như Discord, Telegram, ví tiền điện tử và nền tảng trò chơi (Steam, Epic, Roblox hoặc Minecraft). Sau đó, tạo tệp RAR được bảo vệ bằng mật khẩu (loại tệp Blank-WDAGUtilityAccount.rar, khóa “blank123”) và tải nó lên thông qua webhook Discord có nhãn “Blank Grabber”, kết hợp hành vi trộm cắp với lưu lượng HTTPS hợp pháp.
Sự kiên trì và trốn tránh xứng đáng với APT
Để ở lại trong hệ thống, Inf0s3c Stealer được sao chép vào thư mục Khởi động Windows với phần mở rộng .scr (ngụy trang thành trình bảo vệ màn hình) sử dụng một chương trình con kiểu PutInStartup, và có thể dựa vào các tính năng bảo mật hệ thống để giảm thiểu xung đột với UAC. Thao tác này đảm bảo chương trình được thực thi mỗi khi khởi động.
Trong sự trốn tránh, thực hiện kiểm tra chống VM và chống gỡ lỗi (ví dụ: kiểm tra BIOS và tính thời gian bằng QueryPerformanceFrequency), chặn các miền chống vi-rút, bao gồm chế độ "tan chảy" để tự hủy sau khi hoạt động và "pump stub" làm tăng kích thước nhị phân để bỏ qua các phương pháp ước lượng dựa trên kích thước.
Việc lọc dữ liệu thông qua API Discord giúp tránh nhu cầu sử dụng C2 truyền thống: tệp được truyền đi như thể đó là nội dung thông thường, giảm khả năng hiển thị của hệ thống giám sát không kiểm tra các tệp đính kèm được mã hóa hoặc không nằm trong danh sách chặn.
Những gì bạn có thể làm để bảo vệ bản thân
Trước những chiến dịch bùng nổ sự tự tin và tò mò, bạn nên hết sức thận trọng: hãy cảnh giác với những lời mời tải xuống "trò chơi" hoặc tệp thực thi, xác nhận danh tính thông qua kênh khác và nhớ rằng không nhấp vào là quyết định hợp lệ nếu bạn nghi ngờ.
- Triển khai bảo vệ điểm cuối dựa trên hành vi có khả năng giải nén PyInstaller và phát hiện việc sử dụng máy nén bất thường (UPX, RAR).
- Ứng dụng lọc thoát để chặn các webhook Discord trái phép và giám sát các tệp đính kèm HTTP bất thường vào các tên miền trên nền tảng.
- Kích hoạt PowerShell và ghi nhật ký dòng lệnh (systeminfo, getmac, tasklist, tree, v.v.) và tạo cảnh báo về các mẫu nhận dạng.
- Thực thi nguyên tắc đặc quyền tối thiểu, kiểm tra các thay đổi đối với thư mục Registry và Startup và cập nhật các quy tắc YARA (ví dụ: từ Cyfirma).
- củng cố phân đoạn mạng, sao lưu ngoại tuyến và đào tạo chống lừa đảo và tấn công kỹ thuật xã hội.
Bức ảnh toàn cảnh cho thấy hai mặt trận hội tụ trên cùng một nền tảng: những mẹo thuyết phục bạn chạy phần mềm và một kẻ đánh cắp thời hiện đại sử dụng các kênh riêng của Discord để đánh cắp thông tin. Với các hành vi thận trọng, kiểm soát lối thoát và hệ thống đo từ xa được tinh chỉnh, chúng ta có thể giảm thiểu tác động của những chiến dịch này và gây khó khăn cho những kẻ đang cố gắng biến cộng đồng của chúng ta thành mục tiêu tiếp theo của chúng.