新しいマルウェアキャンペーンがDiscordの招待システムの弱点を悪用し、Skuldという情報スティーラーとAsyncRATリモートアクセス型トロイの木馬を配信しています。
「攻撃者はバニティリンク登録を通じてリンクをハイジャックし、信頼されたソースから悪意のあるサーバーへユーザーを静かにリダイレクトすることができました」とCheck Pointは技術報告書で述べています。「攻撃者はClickFixフィッシング技術、多段階ローダー、時間ベースの回避を組み合わせて、AsyncRATとカスタマイズされたSkuld Stealerを暗号ウォレットを狙って密かに配信しました。」
Discordの招待メカニズムの問題は、攻撃者が期限切れまたは削除された招待リンクをハイジャックし、無警戒なユーザーを彼らの管理下にある悪意のあるサーバーに密かにリダイレクトできることです。これはまた、かつて信頼され、フォーラムやソーシャルメディアプラットフォームで共有されたDiscord招待リンクが、知らずにユーザーを悪意のあるサイトに導く可能性があることを意味します。
このキャンペーンの詳細は、サイバーセキュリティ会社が別の高度なフィッシングキャンペーンを明らかにした1か月余り後に出てきました。このキャンペーンでは、期限切れのバニティ招待リンクをハイジャックしてユーザーをDiscordサーバーに誘導し、所有権を確認するためにフィッシングサイトを訪れるよう指示し、ウォレットを接続するとデジタル資産が流出するというものでした。
ユーザーはDiscord上で一時的、永久的、またはカスタム(バニティ)招待リンクを作成できますが、プラットフォームは他の正当なサーバーが以前に期限切れまたは削除された招待を再取得することを防ぎます。しかし、Check Pointは、カスタム招待リンクを作成することで、期限切れの招待コードや削除された永久招待コードを再利用できることを発見しました。
カスタムバニティ招待リンクを作成する際にDiscordの期限切れまたは削除されたコードを再利用する能力は、攻撃者がこれを悪意のあるサーバーのために主張することを可能にする濫用の扉を開きます。
「これは深刻なリスクを生み出します:以前に信頼された招待リンク(例:ウェブサイト、ブログ、フォーラム上)をフォローするユーザーが、脅威アクターによって作成された偽のDiscordサーバーに知らずにリダイレクトされる可能性があります」とCheck Pointは述べています。
Discord招待リンクのハイジャックは、要するに、正当なコミュニティによって元々共有された招待リンクを乗っ取り、それを使ってユーザーを悪意のあるサーバーにリダイレクトすることを含みます。このスキームに引っかかりサーバーに参加したユーザーは、ボットを承認して完全なサーバーアクセスを得るために確認ステップを完了するよう求められ、その後、目立つ「確認」ボタンがある偽のウェブサイトに導かれます。
ここで攻撃者は、ClickFixとして知られる社会工学的戦術を組み込み、確認を装ってユーザーを感染させることで攻撃を次のレベルに引き上げます。
具体的には、「確認」ボタンをクリックすると、JavaScriptが密かに実行され、PowerShellコマンドがマシンのクリップボードにコピーされ、その後、ユーザーはWindowsの実行ダイアログを起動し、既にコピーされた「確認文字列」(つまり、PowerShellコマンド)を貼り付け、Enterキーを押してアカウントを認証するよう促されます。
しかし実際には、これらのステップを実行することで、PastebinにホストされているPowerShellスクリプトのダウンロードがトリガーされ、その後、最初のステージのダウンローダーを取得して実行し、最終的にリモートサーバーからAsyncRATとSkuld Stealerをドロップして実行します。
この攻撃の中心には、精密さとステルス性の両方を備えた多段階感染プロセスがあり、サンドボックスのセキュリティチェックを通じてセキュリティ保護を回避する手段も講じています。
AsyncRATは、感染したシステムに対する包括的なリモートコントロール機能を提供し、Pastebinファイルを読み取ることで実際のコマンドアンドコントロール(C2)サーバーにアクセスする「デッドドロップリゾルバー」と呼ばれる技術を使用していることが判明しています。
もう一つのペイロードは、BitbucketからダウンロードされるGolang情報スティーラーで、Discord、さまざまなブラウザ、暗号ウォレット、ゲームプラットフォームからの機密ユーザーデータを盗むことができます。
Skuldはまた、ExodusとAtomicの暗号ウォレットから暗号ウォレットのシードフレーズやパスワードを収集することができます。これは、GitHubからダウンロードされたトロイの木馬化されたバージョンで正当なアプリケーションファイルを置き換える「ウォレットインジェクション」と呼ばれるアプローチを使用して達成されます。最近、pdf-to-officeという名前の不正なnpmパッケージによって同様の技術が使用されました。
この攻撃はまた、Chromeのアプリバウンド暗号化保護を回避するためにChromeKatzとして知られるオープンソースツールのカスタムバージョンを使用しています。収集されたデータはDiscordのWebhookを通じて悪党に送信されます。
ペイロードの配信とデータの流出がGitHub、Bitbucket、Pastebin、Discordなどの信頼されたクラウドサービスを通じて行われるという事実は、脅威アクターが通常のトラフィックに紛れ込み、レーダーを逃れることを可能にします。Discordはその後、悪意のあるボットを無効にし、攻撃チェーンを効果的に断ち切りました。
Check Pointは、同じ脅威アクターによって仕掛けられた別のキャンペーンも特定しました。これは、海賊版ゲームを解除するためのハックツールの改変版としてローダーを配布するものでした。この悪意のあるプログラムもBitbucketにホストされており、350回ダウンロードされています。
これらのキャンペーンの被害者は主にアメリカ、ベトナム、フランス、ドイツ、スロバキア、オーストリア、オランダ、イギリスに所在していると評価されています。
この発見は、サイバー犯罪者が人気のあるソーシャルプラットフォームをどのようにターゲットにしているかの最新の例を示しています。このプラットフォームのコンテンツデリバリーネットワーク(CDN)は過去に悪用され、マルウェアをホストしていました。
「このキャンペーンは、Discordの招待システムの微妙な機能、つまりバニティ招待リンクで期限切れまたは削除された招待コードを再利用する能力が、強力な攻撃ベクトルとしてどのように悪用されるかを示しています」と研究者たちは述べています。「正当な招待リンクをハイジャックすることで、脅威アクターは無警戒なユーザーを悪意のあるDiscordサーバーに静かにリダイレクトします。」
「暗号ウォレットを特に狙った強力なスティーラーを含むペイロードの選択は、攻撃者が主に暗号ユーザーをターゲットにしており、金銭的利益を動機としていることを示唆しています。」
翻訳元: https://thehackernews.com/2025/06/discord-invite-link-hijacking-delivers.html