Discord’da Yeni Malware Tehdidi: Skuld ve AsyncRAT
Günümüz dijital dünyasında siber saldırılar, özellikle bildiğimiz sosyal medya platformlarında oldukça yaygın hale gelmiştir. Bu bağlamda, Discord’un davet sistemini istismar eden yeni bir malware kampanyası dikkat çekmektedir. Bu kampanyada, Skuld adını taşıyan bir bilgi çalıcı ve AsyncRAT adlı uzaktan erişim trojanı kullanılmaktadır. Saldırganlar, özelleşmiş davet bağlantılarını ele geçirerek kullanıcıları zararlı sunuculara yönlendirmek için çeşitli teknikler kullanmaktadır.
Discord Davet Mekanizmasının Zayıflıkları
Discord’un davet mekanizması, kullanıcıların geçici, kalıcı veya özelleştirilmiş (vanity) davet bağlantıları oluşturmasına olanak tanır. Ancak, bu mekanizma, saldırganların süresi dolmuş veya silinmiş davet bağlantılarını ele geçirmesine olanak tanır. Check Point’in teknik raporuna göre, bu tür bir açığın varlığı, kullanıcıların daha önce güvendiği davet bağlantıları aracılığıyla kötü niyetli sunuculara yönlendirilmesine neden olmaktadır.
Ayrıca, saldırganlar, ClickFix olarak bilinen sosyal mühendislik tekniklerini kullanarak kullanıcıları aldatmakta ve yapmaları gereken bir doğrulama adımında kullanıcıların bilgilerini çalmaktadır. Kullanıcılar, gönderdikleri davet bağlantılarını tıklayarak zararlı bir sunucuya katıldıklarında, bu durum ciddi bir risk oluşturmaktadır.
Üç Aşamalı İstismar Süreci
Saldırganlar, davet bağlantılarını ele geçirdikten sonra kullanıcıları zararlı bir sunucuya yönlendirmektedir. Kullanıcılar, sunucuya katıldıktan sonra, tam erişim elde etmek için bir botu yetkilendirmek amacıyla sahte bir "Doğrula" butonuna tıklamaları istenmektedir. Bu butona tıkladıklarında, zararlı bir JavaScript çalıştırılmakta ve kullanıcının bilgisayarına bir PowerShell komutu kopyalanmaktadır. Kullanıcılar, bu komutu Windows Çalıştır diyalog kutusuna yapıştırdığında, bir ilk aşama yükleyici indirilmektedir.
Bu yükleyici daha sonra AsyncRAT ve Skuld stealeyi uzaktan bir sunucudan indirip kurmaktadır. Bu karmaşık yapının arkasında, dikkatlice planlanmış çok aşamalı bir enfeksasyon süreci yer almaktadır. Aşama aşama gizlilik sağlarken, aynı zamanda güvenlik önlemlerini aşma yeteneğine de sahiptir.
Saldırganların Amaçları ve Hedef Altyapısı
AsyncRAT, enfekte olmuş sistemler üzerinde tam kontrol sağlamak için geniş kapsamlı araçlar sunmaktadır. Saldırganlar, bu yazılımla birlikte Golang tabanlı bir bilgi çalıcının yanı sıra, kullanıcıların Discord, tarayıcılar, kripto cüzdanları ve oyun platformlarından hassas verileri çalmaktadır. Bu tür bir yazılım, sahte uygulama dosyalarının değiştirilmesi yoluyla gerçek dosyaların yerini alarak kullanıcı bilgilerini hedef alır.
Örneğin, Skuld, Exodus ve Atomic kripto cüzdanlarının şifrelerini ve tohum cümlelerini çalma yeteneğine sahiptir. Bu süreçte kullanılan teknikler, kullanıcıların güvenliğini ihlal etmek için kullanılan çeşitli açık kaynak araçlarla birleştirilmektedir. Özellikle, ChromeKatz adında özelleşmiş bir araç kullanarak Chrome’un şifreleme önlemlerini atlatmaktadır.
Veri Exfiltrasyonu ve İzlenme Eğilimi
Ortaya çıkan veriler, Discord webhookları aracılığıyla saldırganlara aktarılmaktadır. Bunun yanı sıra, kullanılan altyapı, GitHub, Bitbucket ve Pastebin gibi güvenilir bulut hizmetlerinin tarafa sahiptir. Bu durum, saldırganların normal trafikle birleşerek dikkat çekmemesine sebep olmaktadır.
Bu kampanya, Discord’un davet sisteminin zayıflıklarının nasıl oldukça etkili bir saldırı vektörü olarak kullanılabileceğini de gözler önüne sermektedir. Kullanıcılar, kökeni sağlam olan bağlantılarla açtıkları davetler üzerinden, yanlış yönde bir yolculuğa çıkmakta ve bu durum, siber suçlular için büyük bir avantaj sağlamaktadır.
Kurbanlar ve Gelecek Tehditler
Check Point, benzer bir tehdit aktörünün pirated oyunları açmak için modifiye edilmiş bir hack tool dağıttığını da tespit etmiştir. Bu kötü amaçlı yazılım, özellikle ABD, Vietnam, Fransa, Almanya, Slovakya, Avusturya, Hollanda ve Birleşik Krallık gibi ülkelerdeki kullanıcıları hedef almaktadır.
Sonuç olarak, Discord kullanıcılarının dikkatli olmaları ve gönderdikleri davet bağlantılarını titizlikle incelemeleri gerekmektedir. Bu tür siber saldırılar, online dünyadaki güvenliğin ne denli önemli olduğunu bir kez daha hatırlatmaktadır. Kullanıcıların güvenliklerini artırmak için, davet bağlantılarını kimlerle paylaştıklarına ve bu bağlantıların kökenine dikkat etmeleri büyük bir önem taşımaktadır.
