القراصنة يستخدمون روابط دعوة “ديسكورد” لنشر البرمجيات الخبيثة – اكتشف كيفية الحماية الآن!
كشف النقاب عن حملة جديدة لبرامج ضارة تستهدف مستخدمي العملات الرقمية عبر روابط دعوة منصة “ديسكورد”. وفقًا للمعلومات، يستغل البرنامج الضار ثغرة في نظام الدعوة الخاص بـ”ديسكورد” لتنزيل برنامج سرقة البيانات المعروف باسم “سكولد” وحصان طروادة “آسينك رات” للوصول عن بُعد.
كيف يعمل الهجوم؟
في تقرير صادر عن “تشيك بوينت”، ذكرت المنصة أن المهاجمين يستولون على الروابط من خلال تسجيل روابط مخصصة، مما يسمح لهم بإعادة توجيه المستخدمين من مصادر موثوقة إلى خوادم ضارة بسهولة.
وقالت “تشيك بوينت”: “جمع المهاجمون بين تقنية التصيد الاحتيالي “كليكفيكس”، وبرامج التحميل متعددة المراحل، وأساليب التهرب الزمني لتسليم حصان طروادة “آسينك رات” وإصدار مخصص من برنامج “سكولد” الذي يستهدف محافظ العملات الرقمية.”
استغلال روابط الدعوة المنتهية
أحد استخدامات آلية دعوة “ديسكورد” هو أن المهاجمين يمكنهم الاستيلاء على روابط دعوة منتهية أو محذوفة وإعادة توجيه المستخدمين إلى خوادم ضارة تحت سيطرتهم دون علمهم. هذا يعني أن رابط دعوة “ديسكورد” الذي تم مشاركته سابقًا لأغراض مشروعة على وسائل التواصل الاجتماعي والمنتديات يمكن استخدامه لتوجيه المستخدمين إلى خوادم ضارة.
حملة تصيد احتيالي سابقة
جاء هذا التطور بعد أكثر من شهر بقليل من كشف شركة الأمن السيبراني عن حملة تصيد احتيالي متطورة استولت على روابط مخصصة منتهية الصلاحية لإغراء المستخدمين بالانضمام إلى خادم “ديسكورد”، حيث تم توجيههم لزيارة موقع تصيد احتيالي للتحقق من الملكية. استغل المجرمون المنصة للحصول على وصول غير قانوني إلى المحافظ الرقمية للمستخدمين وسرقة أموالهم بعد الاتصال.
إعادة استخدام الروابط المنتهية
على الرغم من أن “ديسكورد” يسمح للمستخدمين بإنشاء روابط دعوة مؤقتة أو دائمة أو مخصصة، إلا أنه لا يسمح للخوادم المشروعة الأخرى باستعادة رابط دعوة منتهي أو محذوف. ومع ذلك، إذا قام المستخدم بإنشاء رابط مخصص، فيمكنه إعادة استخدام رموز الدعوة المنتهية وحتى بعض رموز الدعوة الدائمة المحذوفة في بعض الحالات.
هذه القدرة على إعادة استخدام الرموز المنتهية أو المحذوفة عند إنشاء روابط دعوة مخصصة تتيح للمجرمين استغلالها، حيث يطالب معظمهم بها لخوادمهم الضارة. وقالت “تشيك بوينت”: “هذا يخلق خطرًا جسيمًا: يمكن للمستخدمين الذين يتبعون روابط دعوة موثوقة سابقًا (على سبيل المثال، على المواقع الإلكترونية أو المدونات أو المنتديات) أن يتم توجيههم دون علمهم إلى خوادم “ديسكورد” مزيفة تم إنشاؤها من قبل جهات التهديد.”
سرقة عبارات استرداد المحفظة
وفقًا للتقرير، يمكن لبرنامج “سكولد” الضار جمع عبارات استرداد محافظ العملات الرقمية من محافظ “إكزودس” و”أتوميك”. ينفذ هذا النشاط باستخدام نهج يسمى “حقن المحفظة”، حيث يتم استبدال النسخة الأصلية من ملفات التطبيق بإصدارات محملة بأحصنة طروادة تم تنزيلها من “جيت هاب”.
الحمولة الأخرى هي برنامج لسرقة المعلومات مكتوب بلغة “جولانغ” يمكن تنزيله من “بت باكيت”. يتم استخدامه لسرقة البيانات الحساسة من “ديسكورد” ومتصفحات مختلفة ومحافظ العملات الرقمية ومنصات الألعاب.
أضافت “تشيك بوينت” أنها حددت أيضًا حملة ضارة أخرى تنفذها نفس جهة التهديد حيث تم توزيع برنامج التحميل كنسخة معدلة من أداة اختراق لفتح ألعاب مقرصنة. وفقًا للتقرير، تم تنزيل البرنامج 350 مرة على “بت باكيت”. يقع ضحايا هذه الحملات بشكل رئيسي في الولايات المتحدة وفرنسا وسلوفاكيا وهولندا والنمسا وفيتنام والمملكة المتحدة.
الأسئلة الشائعة
كيف يتم استغلال روابط دعوة “ديسكورد”؟
يستغل المهاجمون روابط دعوة منتهية أو محذوفة لإعادة توجيه المستخدمين إلى خوادم ضارة تحت سيطرتهم، مما يعرضهم لسرقة البيانات أو الأموال.
ما هي البرامج الضارة المستخدمة في هذه الهجمات؟
تشمل الهجمات برنامج “سكولد” لسرقة بيانات المحافظ، وحصان طروادة “آسينك رات” للوصول عن بُعد، بالإضافة إلى برامج أخرى لسرقة المعلومات.
كيف يمكن للمستخدمين حماية أنفسهم؟
يجب على المستخدمين تجنب النقر على روابط دعوة غير موثوقة، وتفعيل التحقق بخطوتين، واستخدام برامج أمنية موثوقة لحماية محافظهم الرقمية.
