
Tietoturvayhtiö Check Point Research on julkaissut varoituksen suosittuun Discord-palveluun liittyvästä vakavasta tietoturvapuutteesta. Kyberrikolliset ovat kehittäneet tavan kaapata vanhentuneita tai poistettuja kutsulinkkejä ja käyttää niitä ansoina pahaa-aavistamattomille käyttäjille. Kuukausia tai jopa vuosia vanhat linkit, jotka on jaettu esimerkiksi keskustelufoorumeilla tai sosiaalisessa mediassa, voivat nyt johtaa käyttäjän haitalliselle palvelimelle.
Miten ansa toimii?
Hyökkäyksen mekanismi on yksinkertainen mutta tehokas. Kun Discord-yhteisön luoma mukautettu kutsulinkki vanhenee, sen osoite vapautuu. Rikolliset nappaavat nämä ”kuolleet” linkit itselleen ja herättävät ne henkiin omilla, haitallisilla palvelimillaan. Kun käyttäjä löytää vanhan viestin ja klikkaa luotettavalta vaikuttavaa linkkiä, hän ei päädykään odottamaansa yhteisöön, vaan lataa huomaamattaan koneelleen haittaohjelmia.
Vaarallinen lasti: Vakoiluohjelmia ja lompakkovarkaita
Check Point Researchin mukaan kampanjassa levitetään pääasiassa kahta vaarallista haittaohjelmaa. Ensimmäinen on AsyncRAT, etähallintatroijalainen, joka antaa hyökkääjälle lähes täydellisen hallinnan uhrin tietokoneeseen. Toinen on Skuld Stealer, joka on erikoistunut kryptovaluuttalompakoiden tyhjentämiseen. AsyncRAT nousi kesäkuussa maailman kolmanneksi yleisimmäksi haittaohjelmaksi, mikä kertoo kampanjan laajuudesta.
Hyökkäys on poikkeuksellisen salakavala, sillä se käyttää toimintansa peittelyyn luotettuja pilvipalveluita, kuten GitHubia, Bitbucketia ja Pastebiniä. Tämän ansiosta haitallinen liikenne sulautuu normaaliin verkkoliikenteeseen, mikä vaikeuttaa sen havaitsemista perinteisillä tietoturvaohjelmistoilla. Lisäksi operaatio kehittyy jatkuvasti, ja hyökkääjät pystyvät jo kiertämään jopa Chromen uusimpia suojausmekanismeja varastaakseen käyttäjien evästeitä.
Miten suojautua?
Check Point Research kehottaa sekä käyttäjiä että yhteisöjen ylläpitäjiä varovaisuuteen:
- Käyttäjät: Suhtaudu varauksella vanhoihin Discord-kutsulinkkeihin, vaikka ne löytyisivätkin luotettavalta sivustolta. Pyri käyttämään aina mahdollisimman tuoreita tai suoraan yhteisön virallisilta kanavilta saatuja kutsuja.
- Yhteisöjen ylläpitäjät: On suositeltavaa käydä läpi ja poistaa vanhat, vanhentuneet kutsulinkit julkisilta sivuilta, foorumeilta ja sosiaalisen median julkaisuista, jotta niitä ei voida kaapata.
- Yleinen varovaisuus: Pidä tietoturvaohjelmistosi aina ajan tasalla ja vältä epäilyttävien tiedostojen lataamista ja suorittamista.