روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ هکرها با سوءاستفاده از لینکهای منقضیشده یا حذفشده دعوت به دیسکورد، دو نوع بدافزار پخش میکنند: AsyncRAT برای کنترل از راه دور سیستم قربانی و Skuld Stealer برای سرقت اطلاعات کیف پولهای رمزنگاری. آنها با اکسپلویتِ یک آسیبپذیری در سیستم لینک دعوت دیسکورد، کاربران را بهطور مخفیانه از منابع معتبر به سرورهای آلوده هدایت میکنند. در این حمله از تکنیک ClickFix، لودرهای چندمرحلهای و اجرای تأخیری استفاده میشود تا بدون شناسایی توسط ابزارهای امنیتی، بدافزار منتقل شود. امروز قرار است بررسی کنیم ببینیم مهاجمان چگونه از این آسیبپذیری استفاده میکنند، تکنیک ClickFix چیست و چرا موثر است، و مهمتر از همه، چطور میتوان از این تهدید در امان ماند. با ما همراه باشید.
ساز و کار لینکهای دعوت دیسکورد
برای درک نحوه سوءاستفاده مهاجمان از سیستم ساخت لینک در دیسکورد، ابتدا باید با شیوه عملکرد لینکهای دعوت آشنا شویم و تفاوت آنها را بررسی کنیم. لینکهای دعوت دیسکورد، URLهای خاصی هستند که کاربران میتوانند از طریق آنها به یک سرور ملحق شوند. این لینکها توسط مدیران سرورها ساخته میشوند تا کاربران بدون نیاز به افزودن دستی، وارد جامعه مورد نظر شوند.
این لینکها در دو قالب مختلف ارائه میشوند:
- https://discord.gg/{invite_code}
- https://discord.com/invite/{invite_code}
وجود چند فرمت برای یک کاربرد، بهویژه استفاده از دامنه غیررسمی مانند discord.gg، از نظر امنیتی ایدهآل نیست، چراکه باعث سردرگمی کاربران میشود.
اما تفاوتها فقط به فرمت محدود نمیشود. لینکهای دعوت دیسکورد در سه نوع اصلی ارائه میشوند که هر کدام ویژگیهای متفاوتی دارند.
لینکهای موقت
لینکهایی که به صورت پیشفرض توسط دیسکورد ساخته میشوند. مدیر سرور میتواند مدت اعتبار آنها را در اپلیکیشن دیسکورد روی یکی از گزینههای ثابت تنظیم کند: ۳۰ دقیقه، ۱ ساعت، ۶ ساعت، ۱۲ ساعت، ۱ روز یا ۷ روز (گزینه پیشفرض). در صورتی که لینک از طریق API دیسکورد ساخته شود، زمان انقضا میتواند سفارشی باشد — تا حداکثر ۷ روز.
کدهای این لینکها معمولاً ترکیبی تصادفی از ۷ یا ۸ کاراکتر هستند که شامل حروف بزرگ، کوچک و ارقام میشود. نمونه:
- https://discord.gg/a7X9pLd
- https://discord.gg/Fq5zW2cn
لینکهای دائمی
برای ساخت این نوع لینک، مدیر باید گزینه "Never" را در بخش Expire After انتخاب کند. کد این لینکها معمولاً ۱۰ کاراکتر تصادفی است. نمونه:
لینکهای سفارشی
این نوع لینک تنها برای سرورهایی که به سطح ۳ دیسکورد رسیدهاند قابل دسترس است. رسیدن به این سطح نیاز به ۱۴ بار "بوست" توسط اعضای جامعه دارد — قابلیتی پولی که مزایای ویژهای را فعال میکند.
در این نوع لینک، مدیر میتواند یک کد سفارشی انتخاب کند که باید در بین تمام سرورها یکتا باشد. این کد میتواند شامل حروف کوچک، اعداد و خط فاصله باشد و طول آن از ۲ تا ۳۲ کاراکتر متغیر است. هر سرور تنها میتواند یک لینک سفارشی فعال داشته باشد.
این لینکها همیشه دائمی هستند، به شرطی که سرور سطح ۳ را حفظ کند. در صورت از دست رفتن این سطح، لینک آزاد شده و ممکن است توسط سرور دیگری با سطح مشابه استفاده شود. نمونهها:
- https://discord.gg/alanna-titterington
- https://discord.gg/best-discord-server-ever
- https://discord.gg/fq5zw2cn
و درست همینجا، سرنخ اصلی ظاهر میشود — اینکه چطور ممکن است مهاجمان از ظاهر مشابه برخی لینکها برای فریب کاربران استفاده کنند.
چطور کلاهبرداران از سیستم لینک دعوت سوءاستفاده میکنند؟
حالا که با انواع لینکهای دعوت دیسکورد آشنا شدیم، نوبت به بررسی روش مهاجمان برای سوءاستفاده از این سیستم میرسد.
نکته کلیدی اینجاست: وقتی یک لینک دعوت معمولی (غیرسفارشی) منقضی یا حذف میشود، مدیر سرور نمیتواند دوباره همان کد را بسازد، چراکه این کدها بهصورت تصادفی تولید میشوند.
اما در مورد لینکهای سفارشی، ماجرا فرق میکند — صاحب سرور میتواند هر کدی را وارد کند، به شرطی که آن کد در حال حاضر آزاد باشد. این یعنی حتی میتوان کدی را انتخاب کرد که قبلاً برای یک لینک معتبر استفاده شده اما حالا منقضی یا حذف شده است. و این دقیقاً همان چیزی است که مهاجمان از آن بهرهبرداری میکنند: آنها کدهای معتبر و منقضیشده را رهگیری کرده و سپس با استفاده از مزایای سطح ۳، همان کدها را بهعنوان لینک سفارشی برای سرورهای آلوده خود ثبت میکنند.
در نتیجه، کلاهبرداران میتوانند از سه نوع لینک سوءاستفاده کنند:
- لینکهای موقت منقضیشده: حتی اگر حروف بزرگ در نسخه قدیمی استفاده شده باشد، سیستم دیسکورد بهطور خودکار کاربران را به لینک سفارشی جدید با حروف کوچک هدایت میکند.
- لینکهای دائمی حذفشده: اگر کد شامل فقط حروف کوچک و اعداد باشد، میتواند دوباره استفاده شود — اما اینبار بدون ریدایرکت.
- لینکهای سفارشی: اگر سرور اصلی سطح ۳ را از دست بدهد، لینک سفارشی آزاد شده و مهاجم میتواند آن را برای سرور خود ثبت کند.
نتیجه این جابجایی چیست؟
کاربران با کلیک روی لینکهایی که قبلاً در منابع کاملاً معتبر (مثل شبکههای اجتماعی، وبسایتها، انجمنها یا بلاگها) منتشر شدهاند، ناخواسته وارد سرورهای جعلی دیسکورد میشوند.
نکته خطرناکتر اینکه صاحبان اصلی این منابع حتی متوجه این تغییر نمیشوند، بنابراین نمیتوانند به کاربران هشدار دهند یا لینکهای قدیمی را حذف کنند.
حمله ClickFix در دیسکورد چگونه عمل میکند؟
حال ببینیم وقتی کاربر وارد یکی از این سرورهای جعلی میشود چه اتفاقی میافتد.
پس از عضویت، تنها یک کانال برای کاربر قابل مشاهده است — کانالی به نام verify. مهاجمان از این کانال بهعنوان دروازهای برای اجرای حمله ClickFix استفاده میکنند. ادامه این فرآیند در مرحله بعد شرح داده میشود.
مکانیزم اجرای حمله ClickFix در دیسکورد
در کانال verify، یک ربات به نام Safeguard ظاهر میشود که وعده دسترسی کامل به سرور را میدهد. برای این کار، کاربر باید روی دکمه Verify کلیک کند. پس از کلیک، از او خواسته میشود ربات را تأییدکند. پس از تأیید، ربات به اطلاعات پروفایل کاربر دسترسی پیدا میکند (نام کاربری، آواتار، بنر) و کاربر به یک وبسایت خارجی به آدرس https://captchaguard[.]meهدایت میشود. در ادامه، کاربر وارد زنجیرهای از ریدایرکتها شده و در نهایت به صفحهای بسیار شبیه رابط کاربری دیسکورد میرسد، با یک دکمه Verify در وسط صفحه. با کلیک روی این دکمه، اسکریپت جاوااسکریپتی فعال میشود که یک دستور مخرب PowerShell را به کلیپبورد کپی میکند. سپس دستورالعملهایی دقیق به کاربر داده میشود:
- کلیدهای Win + R را فشار دهید.
- متن کپیشده را با Ctrl + V بچسبانید.
- کلید Enter را بزنید.
در این روش، سایت هیچ فایلی برای دانلود یا اجرا پیشنهاد نمیدهد، بنابراین علائم هشدار همیشگی از بین میرود. در واقع، کاربر با اجرای دستی دستور در PowerShell، خودش سیستمش را آلوده میکند.
این حمله بخشی از تکنیکی به نام ClickFix است — روشی برای آلودهسازی از طریق تعامل مستقیم کاربر، بدون استفاده از فایلهای اجرایی.
بدافزارهای AsyncRAT و Skuld Stealer
دستور اجراشدهی پاورشل، مرحله اول در زنجیرهای چندمرحلهای برای رساندن دو بدافزار به سیستم قربانی است. در ادامه، مهاجمان دو ابزار مخرب روی دستگاه نصب میکنند:
AsyncRAT
این ابزار نسخه تغییر یافتهای از یک برنامه کنترل از راه دور است که امکان انجام عملیات زیر را فراهم میکند:
- اجرای فرمانها و اسکریپتها
- ضبط کلیدهای فشردهشده (کیلاگر)
- مشاهده صفحه نمایش
- مدیریت فایلها
- دسترسی به دسکتاپ و دوربین از راه دور
Skuld Stealer
این بدافزار اطلاعات زیادی را جمعآوری میکند:
- اطلاعات سیستم
- نام کاربری و توکنهای احراز هویت دیسکورد
- عبارات بازیابی و رمزهای عبور کیف پولهای رمزنگاری مانند Exodus و Atomic، با تزریق کد مخرب به رابط کاربری آنها
تمام اطلاعات جمعآوریشده توسط webhook به کانالی خصوصی در دیسکورد مهاجم ارسال میشود. این روش انتقال داده، نیاز به زیرساخت پیچیده ندارد و بسیار ایمن و مخفیانه عمل میکند.
چگونه قربانی این حمله نشویم؟
متأسفانه سیستم لینک دعوت دیسکورد شفافیت کافی ندارد، و همین موضوع باعث میشود کاربران—بهویژه افراد تازهوارد—بهسختی بتوانند جعلی بودن یک لینک یا فرآیند ریدایرکت را تشخیص دهند. با این حال، چند اقدام امنیتی وجود دارد که اگر بهدرستی انجام شوند، میتوانند از بدترین سناریو—آلودگی سیستم به بدافزار و از دست دادن دارایی مالی—جلوگیری کنند:
- هرگز کدی را در پنجره Run وارد نکنید مگر اینکه دقیقاً بدانید چه کاری انجام میدهد. این کار فوقالعاده خطرناک است، و هیچ سایت معتبری چنین دستورالعملی ارائه نمیدهد.
- تنظیمات حریم خصوصی و امنیت دیسکورد را طبق راهنمای جامع ما پیکربندی کنید. این کار مستقیماً از شما در برابر لینکهای دعوت ربودهشده محافظت نمیکند، اما سایر تهدیدهای مرتبط با دیسکورد را کاهش میدهد.
- از یک راهکار امنیتی معتبر استفاده کنید که پیش از وقوع خطر هشدار دهد و مانع دانلود بدافزار شود. بهتر است این ابزار را روی تمام دستگاهها نصب کنید — بهویژه دستگاههایی که روی آنها از کیف پول رمزارز یا نرمافزارهای مالی استفاده میکنید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
