Bạn cảm thấy thất vọng khi tìm được một đường link mời Discord đến máy chủ mình muốn tham gia, nhưng rồi lại phát hiện nó đã hết hạn từ lâu. Tuy nhiên, có một điều tệ hơn thế: một đường link mời dường như vĩnh viễn nhưng lại là giả mạo. Các đối tượng xấu đã tìm ra cách lợi dụng các đường link vanity URL trên Discord để chiếm quyền điều khiển những lời mời đã hết hạn, qua đó chuyển hướng người dùng đến một máy chủ chứa đầy mã độc.
Theo phân tích của Check Point Research, cuộc tấn công này khai thác cách Discord xử lý các URL mời máy chủ. Nếu bạn đã từng sử dụng Discord, rất có thể bạn đã thấy một trong những đường link mời của dịch vụ này; chúng là các URL bắt đầu bằng “discord.gg” và kết thúc bằng một chuỗi các chữ cái và số ngẫu nhiên. Nhiều cộng đồng và dự án sử dụng máy chủ Discord để giao tiếp với người dùng, và đôi khi, một đường link mời Discord trên kho GitHub hoặc trang web chính thức có thể bị cấu hình sai để hết hạn, hoặc đơn giản là bị loại bỏ khi dự án hoàn thành.
Dù thoạt nhìn có vẻ vô hại, nhưng các tác nhân độc hại hiện đang khai thác chính hành vi này để phát tán mã độc qua Discord, một cách thức trông khá thuyết phục.
Cơ Chế Lợi Dụng Link Mời Discord Để Phát Tán Mã Độc
Khi nói về các đường link mời Discord được tạo ngẫu nhiên, thực chất có những loại đường link mời khác mà người dùng có thể tạo. Khi một máy chủ được “boost” bởi đủ số lượng thành viên (các “Boost” có thể được đóng góp bởi người đăng ký Discord Nitro hoặc mua riêng để hỗ trợ máy chủ), các tính năng mới sẽ được mở khóa cho máy chủ đó. Một tính năng, khi máy chủ đạt cấp độ Boost 3, cho phép người điều hành máy chủ tạo ra một vanity URL mời máy chủ. Điều này có nghĩa là một hậu tố tùy chỉnh có thể được thêm vào URL “discord.gg” để cá nhân hóa lời mời, giúp nó phù hợp hơn với máy chủ hoặc dễ nhớ hơn khi chia sẻ với người khác. Tuy nhiên, các vanity URL này chỉ hỗ trợ chữ cái thường và số; nếu bạn cố gắng thêm một chữ cái viết hoa vào vanity URL, Discord sẽ tự động chuyển nó thành chữ cái thường.
Chiêu Trò Của Kẻ Tấn Công
Cuộc tấn công bắt đầu với một hacker sở hữu một máy chủ Boost Cấp 3. Chúng tìm một đường link đến một máy chủ Discord uy tín và ghi lại đoạn mã ngẫu nhiên ở cuối URL, đặc biệt nếu tất cả các ký tự trong link mời đều là chữ thường. Sau đó, đường link mời này có thể được theo dõi cho đến khi nó “hết hạn” hoặc “chết đi”. Một vanity URL không thể giống hệt một đường link mời đang hoạt động, do đó cần có khoảng thời gian chờ đợi. Tuy nhiên, nếu một máy chủ cộng đồng sử dụng vanity URL và sau đó mất đi cấp độ boost, thì ai đó cũng có thể “cướp” vanity URL đó khi nó trở nên khả dụng. Như vậy, một lời mời tạm thời đã hết hạn hoặc một vanity URL đã được tạm thời phát hành đều có thể bị sao chép. Lúc này, một đường link tưởng chừng như dẫn đến máy chủ vô hại lại trỏ đến một máy chủ độc hại.
Máy tính xách tay chạy Windows 11 hiển thị ứng dụng Windows Security, minh họa tầm quan trọng của bảo mật PC trước các mối đe dọa mã độc.
Quy Trình Lừa Đảo Tinh Vi Trên Server Độc Hại
Khi nạn nhân không nghi ngờ gì đã đến máy chủ độc hại, họ sẽ được chào đón bởi một bot tên là “Safeguard”. Bot này sẽ hướng mục tiêu đến một trang web, tuyên bố là để xác minh người dùng và cho phép họ truy cập máy chủ. Khi người dùng nhấp vào link, trang web nhanh chóng lấy tên người dùng, ảnh đại diện và banner của nạn nhân, sau đó xây dựng một trang đăng nhập Discord giả mạo với thông tin này để làm cho nó trông như thật. Nhiều máy chủ cộng đồng lớn sử dụng các bot này để bảo vệ chống lại các cuộc tấn công tự động và kẻ gửi thư rác, vì vậy điều này sẽ không quá bất thường.
Tuy nhiên, mọi thứ rất nhanh chóng đi chệch khỏi quy trình xác minh tiêu chuẩn mà hầu hết các máy chủ lớn yêu cầu người dùng phải trải qua. Trang web tải lên sẽ hiển thị một nút có chữ “Verify”. Nhấp vào nút này sẽ bí mật chèn một lệnh PowerShell vào bộ nhớ tạm của mục tiêu. Quy trình xác minh giả mạo sau đó yêu cầu nạn nhân mở hộp thoại Run của Windows, dán “chuỗi xác minh” (thực chất là một lệnh PowerShell độc hại để truy xuất tệp cài đặt từ một nguồn trực tuyến và thực thi nó), rồi nhấn Enter. Tệp cài đặt sau đó sẽ tải xuống và cài đặt hai ứng dụng độc hại sau vài phút:
- Skuld Stealer: Mã độc này chuyên đánh cắp thông tin ví tiền điện tử (crypto wallet details).
- AsyncRAT: Một loại Trojan truy cập từ xa (Remote Access Trojan – RAT), cho phép kẻ tấn công kiểm soát từ xa máy tính của nạn nhân, bao gồm truy cập dữ liệu, điều khiển chuột, bàn phím và thậm chí là webcam.
Cách Phòng Tránh Hiệu Quả Trước Mối Đe Dọa Này
May mắn thay, việc né tránh cuộc tấn công này khá đơn giản. Nếu một trang web nào đó yêu cầu bạn mở Windows Run để dán một đoạn mã, đó gần như chắc chắn là đang cố lừa bạn cài đặt mã độc. Chừng nào bạn rời khỏi trang đó và từ chối chạy đoạn mã, cuộc tấn công sẽ không thể khởi động và máy tính của bạn sẽ an toàn. Tuy nhiên, đây là một cuộc tấn công tinh vi mà phần lớn xuất hiện rất liền mạch với những gì bạn mong đợi ở một máy chủ Discord hợp pháp. Theo Check Point Research, Discord đã gỡ bỏ bot cụ thể này, nhưng rất có thể các cuộc tấn công tương tự sẽ được thử nghiệm trong tương lai với những biến thể mới.
Kết Luận
Phương thức tấn công lợi dụng link mời Discord đã hết hạn hoặc vanity URL là một minh chứng cho sự tinh vi ngày càng tăng của tội phạm mạng. Chúng không chỉ khai thác các lỗ hổng kỹ thuật mà còn dựa vào sự thiếu cảnh giác của người dùng và sự tin tưởng vào những quy trình quen thuộc. Để bảo vệ bản thân, hãy luôn giữ thái độ hoài nghi với bất kỳ yêu cầu xác minh bất thường nào, đặc biệt là những yêu cầu đòi hỏi bạn thực hiện các thao tác mang tính hệ thống như dán lệnh vào Windows Run. Nâng cao nhận thức và cảnh giác là chìa khóa để giữ an toàn trong thế giới số.
Hãy chia sẻ thông tin quan trọng này để cảnh báo cộng đồng, và luôn kiểm tra kỹ các đường link cũng như các yêu cầu xác minh trước khi nhấp hoặc thực hiện bất kỳ hành động nào.
