حملة قرصنة تستغل روابط دعوة “Discord” لنشر برمجيات خبيثة تسرق محافظ العملات الرقمية

باحثون يكتشفون وسيلة لتعطيل حملات التعدين الخبيثة باستخدام "الأسهم السيئة" و"XMRogue"
باحثون يكتشفون وسيلة لتعطيل حملات التعدين الخبيثة باستخدام "الأسهم السيئة" و"XMRogue"
شارك هذا الخبر

كشفت شركة Check Point للأمن السيبراني عن حملة خبيثة جديدة تستغل ثغرة في نظام الدعوات بمنصة Discord لتوزيع برمجية تحكم عن بُعد (AsyncRAT) وأداة Skuld Stealer المصممة خصيصًا لسرقة بيانات المستخدمين ومحافظ العملات الرقمية.

ووفقًا للتقرير التقني الصادر عن الشركة، فإن المهاجمين تمكنوا من اختطاف روابط الدعوة من خلال تسجيل روابط “Vanity” (مخصصة الشكل)، ما مكنهم من إعادة توجيه المستخدمين بشكل خفي من مصادر موثوقة إلى خوادم خبيثة.

آلية الاستغلال: إعادة استخدام روابط الدعوة القديمة

الثغرة الأساسية تكمن في سماح Discord بإعادة استخدام رموز الدعوات المُنتهية أو المحذوفة عند إنشاء روابط دعوة مخصصة. هذا يعني أن روابط قديمة سبق تداولها على المنتديات أو وسائل التواصل قد تقود حاليًا المستخدمين، دون علمهم، إلى خوادم يديرها قراصنة.

وقالت Check Point:

“هذا الخلل يشكّل تهديدًا حقيقيًا، إذ يمكن للقراصنة استغلال روابط الدعوة التي كانت موثوقة في السابق لإغراء المستخدمين بالانضمام إلى خوادم Discord وهمية.”

من خدعة التحقق إلى تحميل البرمجيات الخبيثة

بعد الانضمام إلى الخادم الخبيث، يُطلب من الضحية إجراء خطوة “تحقق” من خلال الضغط على زر “Verify”. إلا أن هذه الخطوة ما هي إلا هندسة اجتماعية باستخدام تقنية ClickFix الشهيرة.

عند الضغط على الزر، يتم تنفيذ كود JavaScript خفي يقوم بنسخ أمر PowerShell إلى الحافظة (Clipboard)، ويُطلب من المستخدم لصقه في نافذة تشغيل الأوامر (Windows Run) والضغط على “Enter” للتحقق. لكن هذا الأمر يقوم فعليًا بتحميل سكريبت PowerShell من Pastebin، والذي بدوره يُحمّل برامج ضارة من خوادم خارجية تشمل:

  • AsyncRAT: أداة تحكُّم عن بعد تُستخدم لمراقبة الأجهزة والتحكم بها. تعتمد تقنية تُعرف باسم dead drop resolver للوصول إلى خادم القيادة والسيطرة عبر ملف منشور على Pastebin.

  • Skuld Stealer: أداة سرقة بيانات مكتوبة بلغة Golang، تستهدف:

    • بيانات Discord

    • متصفحات الإنترنت

    • محافظ العملات الرقمية مثل Exodus وAtomic

    • منصات الألعاب

تقوم Skuld بسرقة عبارات الاستعادة وكلمات المرور من المحافظ باستخدام تقنية حقن المحافظ (Wallet Injection)، حيث يتم استبدال الملفات الأصلية بملفات خبيثة تم تحميلها من GitHub.

أدوات مفتوحة المصدر وتكتيكات مراوغة

الحملة تتضمن كذلك نسخة معدّلة من أداة ChromeKatz مفتوحة المصدر، لتجاوز حماية التشفير المرتبطة بتطبيق Chrome. ويتم إرسال البيانات المسروقة إلى القراصنة عبر Discord Webhook، ما يساعد على تمويه النشاط الضار كأنه جزء من حركة مرور عادية.

وقد استخدم القراصنة خدمات موثوقة مثل GitHub وBitbucket وPastebin وDiscord لاستضافة الأكواد والبرمجيات الخبيثة، مما يُصعّب على الأنظمة الأمنية اكتشاف النشاط المشبوه.

Discord تتدخل بعد فوات الأوان

بعد اكتشاف الحملة، قامت منصة Discord بتعطيل الروبوت الخبيث الذي كان يُستخدم ضمن سلسلة الهجوم، مما أوقف سلسلة العدوى. ومع ذلك، تشير Check Point إلى أن المهاجمين أطلقوا حملة موازية تستخدم أداة قرصنة مزيفة لتفعيل الألعاب المقرصنة، تم تحميلها أكثر من 350 مرة من Bitbucket.

ضحايا الحملة موزعون عالميًا

تشير التحليلات إلى أن الضحايا تركزوا في دول تشمل:

  • الولايات المتحدة

  • فيتنام

  • فرنسا

  • ألمانيا

  • سلوفاكيا

  • النمسا

  • هولندا

  • المملكة المتحدة

وأكدت Check Point أن هذه الحملة تُبرز كيف يمكن لاستغلال بسيط في روابط الدعوة على Discord أن يتحوّل إلى سلاح قوي بيد المهاجمين.

وأضاف الباحثون:

“اختيار أدوات مثل Skuld التي تستهدف محافظ العملات الرقمية يشير بوضوح إلى أن هدف المهاجمين مالي في المقام الأول.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 417

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة