Check Point® Software Technologies Ltd, ein Pionier und Anbieter von Cyber-Sicherheitslösungen, geht in einem neuen Forschungsbericht auf die allseits beliebte Plattform Discord ein.
Cyber-Kriminellen war es nun möglich, mittels eines Fehlers im System gelöschte oder abgelaufene Einladungs-Links per Hijacking für ihre Zwecke zu nutzen. Auf diese Weise konnten sie Nutzer geschickt und heimlich auf ihre schädlichen Server umleiten. Es handelte sich somit um Einladungs-Links, die von vertrauenswürdigen Nutzern, wie legitimen Communities der Plattform, bereits vor Monaten in Internet-Foren, auf Social-Media-Plattformen oder auf offiziellen Websites veröffentlicht wurden.
Zu den Discord-Links muss man wissen: Es gibt temporäre, permanente und individuelle (vanity genannt). Die temporären Links laufen nach einer bestimmten Zeit ab, die permanenten niemals und die individuellen sind benutzerdefinierte URLs, die nur Servern mit Premium-Status (Level 3 Boost) zur Verfügung stehen. Die Sicherheitsforschung von Check Point ergab, dass Hacker die Handhabung der abgelaufenen oder gelöschten Links missbrauchen können – insbesondere bezogen auf die individuellen Links.
Einladungs-Link
Wenn ein solcher Einladungs-Link von den Hackern umgebaut wird, dann leitet er die Nutzer auf einen schädlichen Server um, die echte Discord-Server und ihre Oberflächen täuschend echt nachbilden. Ausserdem sind für Neuankömmlinge bei Discord-Servern meist viele Kanäle gesperrt, bis auf einen, der sich «Verify» nennt, und das neue Konto verifizieren soll – so auch auf dem Hacker-Server. Ein falscher Chat-Bot namens «Safeguard» fordert die Nutzer auf, die übliche Verifikation durchzuführen.
Klickt der Nutzer nun auf «Verify» wird ein OAuth2-Prozess in Gang gesetzt und leitet den Nutzer auf eine Phishing-Seite um, die Discord äusserst ähnlich sieht. Diese Website lädt vorab eine schädliche PowerShell-Befehlsstruktur in die Oberfläche und leitet den Nutzer nun durch einen gefälschten Prozess zur vermeintlichen Verifizierung. Diese Technik, die als ClickFix bekannt ist, verleitet den Nutzer trickreich dazu, den PowerShell-Befehl über den Windows-Ausführen-Dialog ausführen zu lassen. Tut er das, veranlasst das PowerShell-Script das Herunterladen zusätzlicher Komponenten von Pastebin und GitHub und startet somit eine mehrstufige Infektion des Zielrechners. Am Ende wird der Computer mit Payloads infiziert, darunter Remote Access Trojans (RAT), wie AsyncRAT, die den Hackern einen Fernzugriff gewähren, sowie der Skuld Stealer, welcher es auf Zugangsdaten von Browsern und Krypto-Wallets abgesehen hat.
Was die Sicherheitsforscher zu bedenken geben: Die Kampagne ist nicht statisch angelegt worden. Sie konnten beobachten, dass die Cyber-Kriminellen regelmässig ihren Downloader aktualisieren, um eine Zero-Detection-Bewertung bei der Viren-Datenbank VirusTotal aufrecht zu erhalten. Zudem haben sie eine gleichzeitig laufende, gleiche Kampagne gefunden, die gezielt Videospieler anspricht. Dort wurde der erste Downloader in ein mit Trojanern verseuchtes Cheat-Tool für das Videospiel The Sims 4 gepackt. Die Hacker sind also flexibel genug unterwegs, um verschiedene Gruppen ins Visier zu nehmen.
Was Sicherheitsforscher sagen
Die Sicherheitsforscher betonen, dass die Schätzung einer Opferzahl sehr schwer ist, da eben die Discord Webhooks heimlich für den Datendiebstahl benutzt werden. Anhand der Download-Zahlen aus den Repositories, die für diese Malware-Kampagne genutzt werden, lassen sich aber über 1300 Downloads ablesen. Diese verteilen sich über die ganze Welt, darunter auch Deutschland, Frankreich, Grossbritannien und die USA. Da der Fokus auf dem Diebstahl von Zugangsdaten, vor allem von Krypto-Geldbörsen, liegt, gehen die Sicherheitsforscher von einer eindeutig finanziellen Motivation der Angreifer aus.
Diese Hacker-Attacke unterstreicht, wie ein kleines Untersystem einer vertrauenswürdigen Plattform, wie Discord und die zugehörigen Einladungs-Links, missbraucht werden können. Durch das Hijacking vertrauenswürdiger Links schufen die Angreifer eine effektive Angriffskette, die Social Engineering mit dem Missbrauch legitimer Dienste, wie GitHub, Bitbucket und Pastebin, kombinierte.
Anstatt auf aufwendige Verschleierungstechniken zu setzen, nutzten die Angreifer einfachere, heimlichere Methoden, wie verhaltensbasierte Ausführung, geplante Aufgaben und verzögerte Entschlüsselung der Payload. Diese Kampagne verdeutlicht somit die zunehmende Raffinesse von Social-Engineering-Angriffen, die das Vertrauen der Benutzer in Dienste missbrauchen. Dies zeigt, wie leicht beliebte Plattformen manipuliert werden können, wenn grundlegende Funktionen – wie die schlichte Verarbeitung von Einladungs-Links – ungesichert bleiben.
