Discord ist heutzutage praktisch die Kommunikationsplattform für Spieler. Text, Sprache, Video, geteilte Bildschirme und spezialisierte Server: Discord bietet all das. Ein Nebeneffekt dieser Allgegenwärtigkeit ist, dass Einladungen zu Discord-Servern nun ein Angriffspunkt sind, den Online-Betrüger im Rahmen von Phishing-Aktivitäten nutzen können.
Es ist wichtig zu erwähnen, dass Discord schnell gehandelt hat, um den bösartigen Bot, der in der entdeckten Kampagne verwendet wurde, zu deaktivieren, was hilft, die aktuelle Infektionskette zu unterbrechen.
«Das größere Risiko bleibt jedoch bestehen, dass Angreifer neue Bots erstellen oder alternative Methoden anwenden könnten, die dieselben grundlegenden Techniken nutzen», wurde festgestellt.
Dieses Risiko entsteht durch eine Schwachstelle im Einladungssystem von Discord – jene Links, die man anklickt, um auf den Server für das neue Lieblingsspiel oder den Online-Freund zuzugreifen. Es wurde festgestellt, dass Hacker alte oder gelöschte Einladungslinks kapern und sie auf Server ihrer Wahl umleiten können; dort werden Neuankömmlinge aufgefordert, sich zu verifizieren, was im Wesentlichen dem Standardverfahren beim ersten Beitritt zu einem Server entspricht – nah genug, um nicht sofort Verdacht zu erregen.
Die Nutzer werden dann aufgefordert, den Verifizierungsbot zu autorisieren, und hier wird es kritisch: Die Kurzfassung ist, dass die Autorisierung des Bots einen «Authentifizierungsprozess» startet, der letztendlich zu einer gut getarnten Phishing-Website führt, die Sie und Ihren PC in eine schlechte Lage bringen wird, wenn Sie tun, was sie verlangt. Der vollständige Bericht enthält eine detaillierte Aufschlüsselung, wie das alles funktioniert, aber im Wesentlichen handelt es sich um eine «mehrstufige Nutzlastübermittlung», was im Allgemeinen kein Ausdruck ist, den man im Zusammenhang mit «das ist Ihrem PC passiert» hören möchte.
Die Bedrohung richtet sich nicht nur gegen Gamer, obwohl diese offensichtlich das Hauptziel sind, da sie die dominierende Zielgruppe von Discord darstellen. Im selben Bericht wird behauptet, dass es eine weitere Kampagne gibt, die von denselben «Bedrohungsakteuren» betrieben wird und «wesentliche Merkmale» mit der gekaperten Einladungskampagne teilt, jedoch einen anderen «anfänglichen Infektionsvektor» nutzt: Raubkopierte DLCs für Die Sims 4. Es wurde festgestellt, dass «dasselbe Loader-Framework verwendet wird», zusammen mit den Nutzlasten Skuld Stealer und AsyncRAT.
«Die ausgewählten Nutzlasten, insbesondere AsyncRAT und eine angepasste Variante von Skuld Stealer, deuten auf eine finanzielle Motivation hinter diesem Angriff hin. Während Skuld Anmeldedaten aus verschiedenen Quellen wie Browsern und Discord anvisiert, legt die Kampagne besonderen Wert auf Kryptowährungs-Wallets, insbesondere Exodus und Atomic, indem bösartiges JavaScript injiziert wird, das gestohlene Wallet-Seed-Phrasen und Passwörter über einen dedizierten Discord-Webhook exfiltriert.»
Es ist auch schwierig, das Problem zu beseitigen, sobald man es hat: «Die persistente geplante Aufgabe löst regelmäßig den Loader der zweiten Stufe aus, um eine kontinuierliche Ausführung und Persistenz von AsyncRAT sicherzustellen. Selbst wenn ein Opfer die Malware entdeckt und entfernt, wird AsyncRAT erneut heruntergeladen und ausgeführt, was Angreifern ermöglicht, die Fernsteuerung über zuvor kompromittierte Systeme aufrechtzuerhalten.»
Nun, sehen Sie: Ich bin kein Sicherheitsexperte, noch bin ich besonders schlau. Aber ich beschäftige mich schon sehr lange mit Computern und Online-Systemen, und das hat in mir ein gesundes Maß an Paranoia entwickelt, das, denke ich, jedem guttun würde, wenn es um solche Dinge geht. Zum einen sollte nicht alles, was «klicken Sie mich an» sagt, auch angeklickt werden: Im Zweifelsfall suchen Sie nach einer zweiten Quelle.
Und wenn Sie auf einen Bildschirm wie diesen stoßen:
Tun Sie es einfach nicht. Führen Sie nichts aus, wenn Sie nicht wissen, was es ist und woher es kommt, und mit «wissen» meine ich, Sie wissen es – und wenn Sie denken, dass Sie es wissen, dann wissen Sie es nicht, und es ist Zeit, auf die Bremse zu treten. In dem Moment, in dem Ihnen eine Website, egal wer es ist, sagt, dass Sie eine Eingabeaufforderung öffnen sollen, schließen Sie das Fenster und gehen Sie für mindestens 15 Minuten nach draußen. Es ist eine einfache, klare Regel, und ich verspreche Ihnen, dass sie Ihnen viel Ärger ersparen wird.
(Keine Garantie wird durch diese Aussage versprochen oder impliziert. Aber zumindest, wenn Sie in Schwierigkeiten geraten, können Sie sagen, dass Sie aufmerksam waren und einen legitimen, gut gemeinten Versuch unternommen haben, sich aus Schwierigkeiten herauszuhalten. Und glauben Sie mir, es wird Ihnen Ärger ersparen.)
Ich habe Discord um eine Stellungnahme gebeten und werde ein Update geben, falls ich eine Antwort erhalte.