Cách phần mềm độc hại sử dụng Discord để chiếm quyền điều khiển và đánh cắp ví tiền điện tử

Lưu Tuấn AnhLưu Tuấn Anh
9 min read

Tổng quan chiến dịch

Gần đây các chuyên gia an ninh mạng đã phán hiện một chiến dịch tấn công nguy hiểm mang tên “Invite link hijacking” trên nền tảng Discord để phát tán phần mềm độc hại. Mục tiêu cuối cùng là đánh cắp thông tin nhạy cảm, đặc biệt là ví tiền mã hóa của người dùng. Tin tặc sẽ lợi dụng các mã mời đã hết hạn hoặc bị xóa để chuyển hướng người dùng đến các máy chủ độc hại chứa phần mềm gián điệp và trojan truy cập từ xa.

Chiến dịch này sử dụng hai loại mã độc chính:

  • AsyncRAT: Một trojan truy cập từ xa (RAT) mã nguồn mở mạnh mẽ.

  • Skuld Stealer: Một phần mềm đánh cắp thông tin chuyên biệt, nhắm vào trình duyệt, ví tiền mã hóa và thông tin đăng nhập.

Theo phân tích từ các chuyên gia bảo mật tại Check Point, chiến dịch tấn công hiện đang diễn ra đã ảnh hưởng tới ít nhất 1.300 người dùng trên toàn cầu trong đó ghi nhận nhiều nhất tại Mỹ, Anh, Pháp, Hà Lan và Đức.

AsyncRAT và Skuld Stealer – Hai công cụ nguy hiểm

AsyncRAT:

  • Cho phép kẻ tấn công:

    • Theo dõi người dùng từ xa.

    • Ghi lại phím gõ (keylogger).

    • Truy xuất webcam, microphone.

    • Tải lên hoặc tải xuống tệp.

  • Mã nguồn mở, dễ dàng tùy chỉnh.

Skuld Stealer:

  • Mục tiêu chính: đánh cắp thông tin nhạy cảm.

  • Có khả năng:

    • Trích xuất ví tiền mã hóa từ các trình duyệt (Chrome, Edge, Brave…).

    • Lấy dữ liệu đăng nhập, cookies, token Discord.

    • Trích xuất file từ các thư mục ví (MetaMask, Exodus, Atomic…).

    • Gửi thông tin bị đánh cắp về máy chủ C2 qua webhook hoặc TCP.

"Discord Invite Link" (liên kết mời Discord) là một liên kết đặc biệt được tạo ra để mời người khác tham gia vào một server Discord. Nó sẽ có dạng như: “https://discord.gg/abc123”

Khi người dùng thực hiện bấm vào link này sẽ nhận được:

  • Tham gia vào một server Discord (nếu chưa tham gia).

  • Truy cập ngay lập tức đến cộng đồng đó nếu không yêu cầu xác minh.

Cũng chính vì thế, nếu link hết hạn hoặc không còn dùng nữa, kẻ tấn công có thể chiếm lấy invite code giống vậy để trỏ người dùng đến server độc hại từ đó thực thi và leo thang đặc quyền nhằm chiếm đoạt thông tin nhạy cảm mà chúng mong muốn.

Cách kẻ tấn công thực hiện

  1. Xâm nhập ban đầu
  • Ban đầu tin tặc sẽ thực hiện gửi các link mời của Discord đã bị hết hạn và đã bị thay đổi thông qua các hội nhóm hợp pháp để lừa người dùng. Khi thực hiện bấm vào link đã được chia sẻ, người dùng vô tình sẽ bị điều hướng đến Discord server độc hại

  • Khi người dùng thực hiện click vào nút “verify” thì lập tức người dùng cũng đồng thời ủy quyền cho BOT và bị điều hướng đến một Website độc hại “https://captchaguard[.]me“. Tại đây BOT sẽ có quyền truy cập chi tiết hồ sơ người dùng, chẳng hạn như tên người dùng, avatar và banner Discord.

  • Sau khi ủy quyền cho BOT, Discord sẽ bắt đầu luồng xác thực OAuth2 đồng thời tạo một Url: “https://captchaguard.me/oauth-pass?code=zyA11weHhTZxaY3Fs3EWBg6qfO7t6j“. Sau đó máy chủ tiếp tục chuyển hướng người dùng đến URL khác với định dạng: “https://captchaguard[.]me/?key=aWQ9dXNlcm5hbWUyMzQ0JnRva2VuPTExMjIzMzQ0MDEyMz…“. Đây đều sẽ là các site phishing giả lập Discord/UI CAPTCH

  • Ngay sau khi bấm vào nút “Verify “ một đoạn mã PowerShell sẽ được chạy âm thầm trên máy của người dùng nhằm tải và thực thi mã độc từ xa.

  • Tại đây tin tặc cũng sẽ sử dụng một kỹ thuật mang tên “ClickFix“ đánh lừa người dùng ứng dụng của họ bị hỏng và cần phải làm theo các bước trong thông báo để fix lại. Tin tặc sẽ yêu cầu người dùng tự mở Windows Run (Win + R) và paste các đoạn mã của tin tặc. Khi đó máy của người dùng sẽ tải một đoạn mã PowerShell từ địa chỉ “https://pastebin[.]com/raw/zW0L2z2M“.

  • Một đoạn mã PowerShell script độc hại rõ ràng, với mục tiêu ẩn cửa sổ PowerShell, tải một file thực thi (EXE) từ GitHub và chạy nó âm thầm trên hệ thống của nạn nhân sẽ được thực thi. Bên cạnh đó tin tặc có thể triển khai payload (RAT, stealer...).

  • Trong chiến dịch tấn công, các chuyên gia cũng đã phát hiện một số đường dẫn có chứa địa chỉ file cài đặt mã độc

    • https://github[.]com/frfs1/update/raw/refs/heads/main/installer.exe

    • https://github[.]com/shisuh/update/raw/refs/heads/main/installer.exe

    • https://github[.]com/gkwdw/wffaw/raw/refs/heads/main/installer.exe

    • https://codeberg[.]org/wfawwf/dwadwaa/raw/branch/main/installer.exe

  • Bên cạnh việc Installer.exe tải payload từ Bitbucket sẽ có 2 tệp VBScript độc hại được kẻ tấn công khởi tạo và thực thi nhằm mục đích chính né tránh bảo mật, thiết lập persistence, tạo file cấu hình và thực thi

  • Khi các tệp độc hại này được khởi chạy lập tức các Payload di kèm cũng được tải xuống từ Bitbucket:

    • https://bitbucket.org/syscontrol6/syscontrol/downloads/skul.exe

    • https://bitbucket.org/syscontrol6/syscontrol/downloads/Rnr.exe

  • Bước tiếp theo tin tặc sẽ Download một tệp độc hại Rnr.exe cũng tương tự tệp installer.exe nhằm tải xuống bổ xung các Payload độc hại tiếp theo. Payload này sẽ đảm nhận các nhiệm vụ:

    • Giải mã XOR dữ liệu nhị phân.

    • Viết payload vào AppData.

    • Tải mã độc từ Bitbucket.

    • Thao túng vtable (có thể là obfuscation hoặc anti-debug).

    • Chạy payload ngầm thông qua task hoặc script.

  1. Triển khai Payload

  • Trong chiến dịch các chuyên gia đã tìm thấy hai Payload liên quan tới Skuld Stealer và AsyncRAT được kẻ tấn công triển khai trên máy của nạn nhân. Đầu tiên Payload: AClient.exe (AsyncRAT) sẽ được khởi chạy và giúp cho những kẻ tấn công có thể:

    • Thực hiện các lệnh và tập lệnh tùy ý.

    • Keylogging và chụp màn hình.

    • Quản lý tệp (tải lên, tải xuống, xóa các tệp).

    • Máy tính để bàn từ xa và truy cập camera.

Tất cả các dữ liệu sau khi đã thu thập được, tin tặc sẽ gửi chúng đến một địa chỉ C&C độc hại: 101.99.76.120

  • Tiếp theo đó Payload thứ hai cũng được thực thi: skul.exe (Skuld Stealer). Điểm đặc biệt của Payload này có thể:

    • Chống debugging.

    • Phát hiện máy ảo và né tránh hệ thống Sandbox.

    • Trộm cắp thông tin từ các trình duyệt dựa trên chrome như: đăng nhập, cookie, thẻ tín dụng, lịch sử trình duyệt.

    • Crypto clipper (thay thế nội dung clipboard bằng địa chỉ tiền điện tử do kẻ tấn công kiểm soát).

    • Ăn cắp Discord authentication tokens.

    • Chặn các hoạt động của người dùng nhạy cảm như đăng nhập, thay đổi mật khẩu, bổ sung thông tin thanh toán, ngăn chặn các yêu cầu xem thiết bị và chặn đăng nhập QR.

    • Thu thập các phiên từ các nền tảng chơi game phổ biến (Epic Games, Minecraft, Riot Games, Uplay).

    • Thu thập thông tin hệ thống (CPU, GPU, RAM, IP, định vị địa lý, mạng Wi-Fi).

    • Trộm cắp ví dữ liệu tiền điện tử, bao gồm các cụm từ và mật khẩu ghi nhớ.

  • Đặc biệt cái điểm nguy hiểm nhất của skul.exe là nhắm đến ví tiền điện tử của nạn nhân. Nó sẽ tải các file .asar độc hại từ các nguồn sau:

    • https://github.com/hackirby/wallets-injection/raw/main/atomic.asar

    • https://github.com/hackirby/wallets-injection/raw/main/exodus.asar

  • Các tệp này sau khi được tải xuống sẽ thực hiện tạo các giấy phép ví tiền giả và mã hóa chúng. Và tất nhiên để giải mã, tin tặc cũng đã chuẩn bị một đoạn mã Exodus wallet stealer tinh vi, ẩn webhook trong file hợp pháp, trích xuất mnemonic/password, sau đó gửi về attacker qua Discord. Nó khai thác chính mã nguồn mở của ví để truy cập vào dữ liệu nhạy cảm ngay khi người dùng mở khóa ví.

Kết luận

Chiến dịch lần này là một ví dụ điển hình việc tận dụng niềm tin cộng đồng (Discord) để triển khai chiến thuật phishing + multi-stage malware với mục tiêu tiền mã hóa. Kẻ tấn công đã lợi dụng nhiều kỹ thuật tinh vi khác nhau như: hijack invite link, fake server, ClickFix, tải và triển khai PowerShell độc hại.

Thật sự đây là những hành động rất nguy hiểm nếu không được phát hiện kịp thời. Việc phòng thủ tốt cũng như kết hợp các hệ thống giám sát để bảo vệ hệ thống của chính bản thân cũng như các tổ chức, doanh nghiệp là cần thiết trong bối cảnh ngày càng có nhiều mối đe dọa trên không gian mạng.

Khuyến nghị

  1. Chặn tên miền và liên kết Discord độc hại

  • Giám sát và lọc DNS để phát hiện các tên miền Discord bị lạm dụng như:

    • discord.com/invite/<mã>

    • cdn.discordapp.com/...

  • Cấu hình proxy/firewall để chặn truy cập đến liên kết Discord không xác thực trong môi trường doanh nghiệp.

  1. Không tin tưởng các lời mời Discord từ nguồn không rõ

  • Cảnh báo người dùng không nhấn vào các Discord invite xuất phát từ:

    • Email lạ, spam.

    • Quảng cáo pop-up, kênh YouTube, blog download.

  • Tăng cường nhận thức người dùng về việc mã độc có thể ẩn sau các liên kết Discord trông hợp pháp.

  1. Giới hạn quyền thực thi script

  • Cấu hình hệ thống để:

    • Không cho phép người dùng thực thi .vbs, .ps1, .js từ các thư mục như Downloads, AppData.

    • Sử dụng AppLocker hoặc Windows Defender Application Control (WDAC) để kiểm soát script.

  1. Cập nhật hệ thống và ứng dụng thường xuyên

  • Nhiều mã độc tận dụng lỗ hổng trong phần mềm lỗi thời để thực thi mã độc hoặc leo thang đặc quyền.

  • Duy trì chính sách cập nhật định kỳ hệ điều hành và trình duyệt.

IOC

  1. Hashes

    • 673090abada8ca47419a5dbc37c5443fe990973613981ce622f30e83683dc932

    • 160eda7ad14610d93f28b7dee20501028c1a9d4f5dc0437794ccfc2604807693

    • 5d0509f68a9b7c415a726be75a078180e3f02e59866f193b0a99eee8e39c874f

    • 375fa2e3e936d05131ee71c5a72d1b703e58ec00ae103bbea552c031d3bfbdbe

    • 53b65b7c38e3d3fca465c547a8c1acc53c8723877c6884f8c3495ff8ccc94fbe

    • d54fa589708546eca500fbeea44363443b86f2617c15c8f7603ff4fb05d494c1

    • 670be5b8c7fcd6e2920a4929fcaa380b1b0750bfa27336991a483c0c0221236a

    • 8135f126764592be3df17200f49140bfb546ec1b2c34a153aa509465406cb46c

    • f08676eeb489087bc0e47bd08a3f7c4b57ef5941698bc09d30857c650763859c

    • db1aa52842247fc3e726b339f7f4911491836b0931c322d1d2ab218ac5a4fb08

    • ef8c2f3c36fff5fccad806af47ded1fd53ad3e7ae22673e28e541460ff0db49c

  2. Url & Domain

    • Phishing Website:

      • captchaguard[.]me

      • https://captchaguard[.]me/?key=

PowerShell Script:

  • https://pastebin[.]com/raw/zW0L2z2M

Bitbucket repositories:

  • https://bitbucket[.]org/updatevak/upd/downloads

  • https://bitbucket[.]org/syscontrol6/syscontrol/downloads

  • https://bitbucket[.]org/updateservicesvar/serv/downloads

  • https://bitbucket[.]org/registryclean1/fefsed/downloads

  • https://bitbucket[.]org/htfhtthft/simshelper/downloads

First stage downloader:

  • https://github[.]com/frfs1/update/raw/refs/heads/main/installer.exe

  • https://github[.]com/shisuh/update/raw/refs/heads/main/installer.exe

  • https://github[.]com/gkwdw/wffaw/raw/refs/heads/main/installer.exe

Second stage downloader:

  • https://bitbucket[.]org/updatevak/upd/downloads/Rnr.exe

  • https://bitbucket[.]org/syscontrol6/syscontrol/downloads/Rnr.exe

Skuld stealer:

  • https://bitbucket[.]org/updatevak/upd/downloads/skul.exe

  • https://bitbucket[.]org/syscontrol6/syscontrol/downloads/skul.exe

AsyncRAT:

  • https://bitbucket[.]org/updatevak/upd/downloads/AClient.exe

  • https://bitbucket[.]org/syscontrol6/syscontrol/downloads/AClient.exe

AsyncRat Dead Drop Resolver:

  • https://pastebin[.]com/raw/ftknPNF7

  • https://pastebin[.]com/raw/NYpQCL7y

  • https://pastebin[.]com/raw/QdseGsQL

  1. C2

    • 101.99.76.120

    • 87.120.127.37

    • 185.234.247.8

    • microads[.]top

  2. Skuld Discord Webhooks

    • https://discord[.]com/api/webhooks/1355186248578502736/_RDywh_K6GQKXiM5T05ueXSSjYopg9nY6XFJo1o5Jnz6v9sih59A8p-6HkndI_nOTicO

    • https://discord[.]com/api/webhooks/1348629600560742462/RJgSAE7cYY-1eKMkl5EI-qZMuHaujnRBMVU_8zcIaMKyQi4mCVjc9R0zhDQ7wmPoD7Xp

Tham khảo

  1. The Discord Invite Loop Hole Hijacked for Attacks - Check Point Research

  2. Discord Invite Link Hijacking Delivers AsyncRAT and Skuld Stealer Targeting Crypto Wallets

0
Subscribe to my newsletter

Read articles from Lưu Tuấn Anh directly inside your inbox. Subscribe to the newsletter, and don't miss out.

MalwarediscordwalletClickfixthreat intelligence

Written by

Lưu Tuấn Anh
Lưu Tuấn Anh