La Campagna Malware Sequestra Vecchi Link di Discord per Hackerare gli Utenti di Criptovalute

Gli hacker stanno dirottando i link di invito a Discord scaduti per ingannare gli utenti a infettarsi di malware che rubano portafogli di criptovalute e aggirano gli strumenti di sicurezza del browser.

Secondo il team di ricerca di CheckPoint, i cybercriminali stanno utilizzando link di invito a Discord scaduti per indirizzare gli utenti verso server malevoli che causano infezioni da malware avanzato.

Gli aggressori dirottano i vecchi link di invito, che appartenevano a comunità di fiducia, per indirizzare gli utenti verso server Discord contraffatti. I server Discord falsi ingannano i loro utenti facendoli scaricare malware pericolosi, incluso AsyncRAT e Skuld Stealer, malware che prendono di mira i portafogli di criptovalute.

Gli aggressori sfruttano il modo in cui Discord genera link di invito utilizzando sia le funzionalità di collegamento temporaneo che permanente. Gli aggressori ottengono l’accesso ai link abbandonati rivendicandoli per impostare server Discord dannosi.

In questo modo, gli utenti che cliccano su quello che sembra essere un invito valido dai social media o post obsoleti vengono automaticamente indirizzati a server maligni controllati da hacker.

All’interno di questi server fasulli, gli utenti si imbattono in un bot chiamato “Safeguard” che presenta un falso processo di verifica. Dopo che gli utenti avviano il processo di verifica, accedono a un sito web di phishing, che esegue un pericoloso comando PowerShell.

Il comando recupera software dannosi da GitHub, così come dalle piattaforme Bitbucket e Pastebin, al fine di far sembrare l’operazione conforme al traffico web standard.

Il malware esegue più fasi per eludere i sistemi di rilevamento. Un link GitHub funge da primo obiettivo di download per uno script PowerShell. Il loader recupera il malware criptato da Bitbucket prima di decifrarlo per l’installazione sul sistema informatico dell’utente.

Gli ultimi carichi utili – AsyncRAT e Skuld Stealer – consentono agli aggressori di controllare i sistemi a distanza e rubare informazioni importanti, tra cui le credenziali degli utenti, insieme ai dettagli del portafoglio criptato dalle applicazioni Exodus e Atomic. Il malware implementa ritardi temporizzati, fino a 15 minuti, per eludere i sistemi di sicurezza automatizzati.

Inoltre, i cyberaggressori hanno scoperto un metodo per eludere la protezione fornita dalla crittografia vincolata all’app di Google Chrome per i cookie. Gli aggressori hanno modificato ChromeKatz per consentire l’estrazione diretta dei cookie di accesso dalla memoria dei browser Chrome, Edge e Brave.

Gli attacchi hanno preso di mira utenti in tutto gli Stati Uniti, insieme al Vietnam, alla Francia e alla Germania, così come altre nazioni. Gli aggressori sembrano prendere di mira gli utenti di criptovalute perché il loro malware punta specificamente a credenziali di portafoglio e frasi di recupero.

Gli ricercatori ritengono che i cybercriminali svilupperanno nuovi metodi nonostante Discord abbia disabilitato il bot specifico utilizzato in questa campagna. Gli utenti dovrebbero proteggersi da tali attacchi evitando inviti Discord obsoleti, facendo attenzione alle richieste di verifica e mantenendo aggiornato il software antivirus.