Des attaques malveillantes ont détourné des liens d’invitation Discord pour propager des malwares. Une nouvelle étude révèle comment des cybercriminels ont exploité une vulnérabilité dans le système d’invitation de Discord pour diffuser des attaques de phishing et voler des informations sensibles.
Une nouvelle campagne de cyberattaques a récemment été révélée par Check Point Research qui exploitent une faille dans le système d’invitation de Discord. Des attaquants malveillants ont réussi à détourner des liens d’invitation expirés ou supprimés pour rediriger les victimes vers des serveurs Discord frauduleux. Ces liens ont permis de déployer des malwares tels que AsyncRAT et Skuld Stealer. L’objectif principal des attaquants est de voler des informations liées aux cryptomonnaies.
Une faille dans le système d’invitation de Discord
Le système d’invitation de Discord, censé être sécurisé, a récemment montré une importante vulnérabilité. Selon Check Point Research, les attaquants ont trouvé un moyen de récupérer des liens d’invitation expirés ou supprimés pour rediriger les utilisateurs vers des serveurs malveillants. Cette faille exploite les liens personnalisés. Ces derniers peuvent redevenir actifs lorsque le serveur perd son boost ou lorsque le lien expire. Les utilisateurs de Discord, eux, font souvent confiance à ces liens issus de sources réputées. Ils sont alors redirigés vers des serveurs piégés sans s’en rendre compte.
L’attaque en plusieurs étapes : un phishing efficace
Une fois sur le serveur malveillant, les utilisateurs sont invités à vérifier leur identité via un faux bot, « Safeguard« . Ce bot fait passer les victimes par une procédure de vérification. En réalité, il redirige les utilisateurs vers un site de phishing qui imite Discord. Ce site, tout à fait crédible, installe un malware en plusieurs étapes sur les ordinateurs des victimes. Le processus débute par l’exécution d’un script PowerShell. Ce script télécharge des malwares depuis des services populaires comme GitHub et Pastebin, ce qui lui permet d’échapper à la détection des antivirus traditionnels.
Une campagne internationale en pleine expansion
Cette campagne de phishing est loin d’être isolée. Les attaquants adaptent sans cesse leurs tactiques afin d’échapper à la détection. Ils modifient notamment leur téléchargeur de malwares. Une campagne parallèle a également été repérée, en plus des victimes ciblées via Discord. Celle-ci utilise des outils de triche pour The Sims 4. Ce type d’attaque, qui touche principalement les utilisateurs de cryptomonnaies, démontre la sophistication croissante des cybercriminels et la manière dont des plateformes populaires peuvent être détournées pour voler des informations sensibles à grande échelle.
Article basé sur un communiqué de presse reçu par la rédaction.
