Thật khó chịu khi bạn tìm được một liên kết mời đến máy chủ Discord mà bạn đã cố gắng truy cập bấy lâu nay, nhưng rồi lại phát hiện ra rằng nó đã hết hạn từ rất lâu. Tuy nhiên, hóa ra có một điều còn tệ hơn nữa: một liên kết mời giả vờ là vĩnh viễn nhưng lại bị lợi dụng. Các tác nhân độc hại đã tìm ra một cách để lạm dụng các liên kết mời tùy chỉnh (vanity URLs) để chiếm đoạt các link mời Discord hết hạn và điều hướng người dùng đến một máy chủ chứa đầy mã độc.
Theo phát hiện và phân tích của Check Point Research, cuộc tấn công này lợi dụng cách Discord xử lý các URL mời máy chủ. Nếu bạn đã từng sử dụng dịch vụ này, có lẽ bạn đã thấy các liên kết mời của họ; chúng là các URL bắt đầu bằng “discord.gg” và kết thúc bằng một chuỗi các chữ cái và số được chọn ngẫu nhiên. Nhiều cộng đồng và dự án sử dụng máy chủ Discord để giao tiếp với người dùng, và đôi khi, một liên kết mời trên kho lưu trữ GitHub hoặc trang web chính thức có thể bị cấu hình sai dẫn đến hết hạn, hoặc đơn giản là bị loại bỏ khi dự án hoàn thành.
Dù thoạt nhìn có vẻ vô hại, nhưng các tác nhân độc hại hiện đang khai thác chính hành vi này để phát tán mã độc qua Discord, và theo một cách trông khá thuyết phục.
Tấn Công Chiếm Đoạt Link Mời Discord: Diễn Biến Phức Tạp
Khi chúng ta nói về các liên kết mời Discord được tạo ngẫu nhiên, có nhiều loại link mời khác mà người dùng có thể tạo. Khi một máy chủ được “tăng cường” (boost) bởi đủ số thành viên (Boosts có thể đến từ người đăng ký Discord Nitro hoặc được mua riêng để hỗ trợ máy chủ), các tính năng mới sẽ được mở khóa cho máy chủ đó. Một tính năng, khi máy chủ đạt cấp độ Boost 3, cho phép người kiểm duyệt máy chủ tạo một Vanity URL – một liên kết mời tùy chỉnh, nghĩa là một hậu tố có thể được thêm vào URL “discord.gg” để cá nhân hóa lời mời, giúp nó phù hợp hơn với máy chủ hoặc dễ nhớ khi chia sẻ. Những URL này chỉ hỗ trợ chữ thường và số, và nếu bạn cố gắng thêm chữ hoa vào một vanity URL, Discord sẽ tự động chuyển nó thành chữ thường.
Cuộc tấn công bắt đầu với một hacker sở hữu một máy chủ Boost cấp độ 3. Họ tìm một liên kết đến một máy chủ Discord uy tín và ghi lại mã được tạo ngẫu nhiên ở cuối URL nếu tất cả các ký tự trong liên kết mời đều là chữ thường. Sau đó, liên kết mời này có thể được theo dõi cho đến khi nó “hết hạn”. Một vanity link không thể giống hệt một link mời đang hoạt động, do đó cần có thời gian chờ đợi. Nếu một máy chủ cộng đồng sử dụng vanity URL và sau đó mất cấp độ boost, thì ai đó cũng có thể “chiếm đoạt” vanity URL đó khi nó trở nên khả dụng. Vì vậy, một lời mời tạm thời đã hết hạn hoặc một vanity URL đã được tạm thời phát hành đều có thể bị sao chép. Lúc này, một liên kết mời đến một máy chủ tưởng chừng vô hại lại trỏ đến một máy chủ độc hại.
Laptop Windows 11 hiển thị ứng dụng Windows Security, minh họa bảo vệ PC khỏi mã độc Discord
Kịch Bản Lừa Đảo Tinh Vi Đưa Người Dùng Đến Cửa Ngõ Mã Độc
Khi nạn nhân không nghi ngờ gì đến máy chủ độc hại, họ được một bot tên là “Safeguard” chào đón. Bot này sẽ hướng mục tiêu đến một trang web, tuyên bố là để xác minh người dùng và cho phép họ truy cập máy chủ. Khi người dùng nhấp vào liên kết, nó nhanh chóng lấy tên người dùng, hình đại diện và banner của nạn nhân, sau đó xây dựng một trang đăng nhập Discord giả mạo với thông tin này để làm cho nó trông như thật. Nhiều máy chủ cộng đồng lớn sử dụng các bot như vậy để bảo vệ chống lại các cuộc tấn công tự động và spam, vì vậy điều này sẽ không có vẻ gì là bất thường.
Tuy nhiên, mọi thứ rất nhanh chóng đi chệch khỏi quy trình xác minh tiêu chuẩn mà hầu hết các máy chủ lớn yêu cầu người dùng thực hiện. Trang web tải lên sẽ hiển thị một nút có nội dung “Verify” (Xác minh). Nhấp vào nút này sẽ âm thầm đặt một lệnh PowerShell vào khay nhớ tạm của mục tiêu. Quy trình xác minh giả mạo sau đó yêu cầu nạn nhân mở hộp thoại Windows Run, dán “chuỗi xác minh” (thực ra là một lệnh PowerShell độc hại để tải xuống tệp cài đặt từ một nguồn trực tuyến và thực thi nó), rồi nhấn Enter. Tệp cài đặt sau đó tải xuống và cài đặt hai ứng dụng độc hại sau vài phút: Skuld Stealer (đánh cắp chi tiết ví tiền điện tử) và AsyncRAT (một Trojan truy cập từ xa, cho phép điều khiển máy tính của mục tiêu từ xa).
Hệ lụy nghiêm trọng từ mã độc:
- Skuld Stealer: Đây là loại mã độc chuyên đánh cắp thông tin liên quan đến ví tiền điện tử của nạn nhân, bao gồm khóa riêng tư, thông tin đăng nhập ví và các dữ liệu nhạy cảm khác, gây ra nguy cơ mất tài sản số nghiêm trọng.
- AsyncRAT: Là một Trojan truy cập từ xa (Remote Access Trojan). Loại mã độc này cho phép kẻ tấn công điều khiển máy tính của nạn nhân từ xa, thực hiện các tác vụ như theo dõi hoạt động, đánh cắp dữ liệu, cài đặt thêm phần mềm độc hại hoặc thậm chí là sử dụng máy tính nạn nhân cho các hoạt động phi pháp khác mà không cần sự đồng ý.
May mắn thay, việc tránh cuộc tấn công này rất đơn giản. Nếu một trang web nào đó yêu cầu bạn mở Windows Run để dán một đoạn mã, gần như chắc chắn đó là một nỗ lực lừa đảo để cài đặt mã độc. Chỉ cần bạn rời khỏi trang đó và từ chối chạy đoạn mã, cuộc tấn công sẽ không thể khởi động và PC của bạn sẽ an toàn. Tuy nhiên, đây là một cuộc tấn công tinh vi mà phần lớn xuất hiện rất liền mạch với những gì bạn mong đợi ở một máy chủ Discord hợp pháp. Theo Check Point Research, Discord đã gỡ bỏ bot cụ thể này, nhưng có khả năng các cuộc tấn công tương tự sẽ được thực hiện trong tương lai.
Hãy luôn đề cao cảnh giác khi tham gia vào các máy chủ Discord mới và xác minh mọi yêu cầu đáng ngờ. Bảo vệ thông tin cá nhân và tài sản số của bạn là ưu tiên hàng đầu trong môi trường trực tuyến đầy rẫy hiểm nguy. Nếu bạn có bất kỳ câu hỏi hoặc kinh nghiệm nào về các chiêu trò lừa đảo tương tự, hãy chia sẻ trong phần bình luận bên dưới để cộng đồng cùng nhau nâng cao cảnh giác. Đừng quên truy cập congnghe360.net thường xuyên để cập nhật những thông tin bảo mật công nghệ mới nhất.