Администраторы групп Discord массово теряют свои аккаунты в атаках с использованием закладок браузера
Добавляя закладку в свой браузер, жертва добровольно передаёт хакеру доступ к своему аккаунту.
Киберпреступники взламывают аккаунты администраторов Discord-серверов и крадут криптовалюту с их счетов, используя вредоносные закладки в браузере. В недавней волне атак пострадали несколько криптосообществ Discord, включая Aura Network, MetrixCoin и Nahmii.
Обычно хакеры нацелены на сообщества Discord, в которых участники обсуждают криптовалюту, а на этот раз злоумышленники атакуют учетные записи администраторов этих групп. По словам Брайана Кребса из KrebsOnSecurity, киберпреступники используют учетные записи, выполняя вредоносный код JavaScript. Чтобы заставить пользователей выполнить код, он маскируется под кажущуюся безобидной закладку браузера.
Злоумышленники используют обманную стратегию, вставляя JavaScript в закладки браузера, используя функцию перетаскивания на веб-страницах.
Администраторы групп сообщили о получении запросов на интервью от лиц, выдающих себя за репортеров из новостных агентств о криптовалюте. Как только жертвы соглашаются на интервью, они перенаправляются на поддельный Discord-сервер, который имитирует выпуск новостей.
Затем администраторов просят подтвердить свою личность, перетащив ссылку с сервера на панель закладок браузера. Жертвы считают, что это действие является частью процесса проверки, и впоследствии возвращаются на Discord.com и нажимают на новую закладку.
Однако жертвы не знали, что закладка представляет собой хорошо написанный фрагмент кода JavaScript. Фрагмент скрытно извлекает токен Discord жертвы и отправляет его на веб-сайт злоумышленника.
Затем мошенник загружает токен в сеанс своего браузера и продолжает анонсировать эксклюзивные новости об NFT в целевой группе Discord, которые предназначены для привлечения наивных участников, которые уверены в легитимности сообщений.
Затем жертвам предлагается подключить свои криптокошельки к веб-адресу, предоставленному злоумышленником, и предоставить неограниченные разрешения на использование своих токенов. Следовательно, хакер успешно выводит средства со скомпрометированных счетов. Чтобы замести следы, злоумышленник оперативно удаляет сообщения и банит пользователей, пытающихся разоблачить мошенничество.
Функциональность токена и последствия атаки
Украденный токен остается функциональным только для злоумышленника до тех пор, пока первоначальный владелец не выйдет из системы или не изменит свои учетные данные. Так киберпреступник может использовать взломанную учетную запись, не вызывая подозрений.
По данным Кребса, сотрудник Ocean Protocol стал жертвой этой атаки. 22 мая администратор Discord-сервера Ocean Protocol перешел по ссылке, отправленной в личных сообщениях от члена сообщества. Затем администратора попросили подтвердить свою личность, перетащив ссылку на панель закладок веб-браузера. Несмотря на то, что была включена многофакторная аутентификация (МФА), учетная запись сотрудника была взломана.
Злоумышленники дождались полуночи по часовому поясу жертвы, чтобы использовать учетную запись и уменьшить вероятность обнаружения. Впоследствии хакеры со взломанного аккаунта отправили сообщение, объявляющее о новой раздаче Ocean. В конце концов, жертва связалась с оператором сервера, на котором размещался канал, и настройки были возвращены в нормальное состояние.
Заключение
Учетные записи администраторов Discord в сообществах, ориентированных на криптовалюту, стали главной целью мошенников, использующих вредоносные закладки JavaScript. Злоумышленники пользуются доверием администраторов Discord, обманом заставляя их выполнять код, замаскированный под закладки браузера.
С помощью этой обманной стратегии мошенники получают доступ к токенам Discord жертв, что позволяет им выполнять мошеннические действия, в частности, списывать средства со взломанных аккаунтов. Для пользователей Discord, особенно для администраторов, крайне важно проявлять осторожность в отношении таких атак.
Ссылка на Источник