Thật khó chịu khi bạn tìm thấy một link mời đến máy chủ Discord mà mình mong muốn, nhưng lại phát hiện nó đã hết hạn từ lâu. Tuy nhiên, có một điều tệ hơn: một link mời tưởng chừng vĩnh viễn nhưng thực chất lại là bẫy lừa đảo. Những kẻ xấu đã tìm ra cách lạm dụng các vanity URL (link mời tùy chỉnh) để chiếm đoạt những link mời đã hết hạn, sau đó chuyển hướng người dùng đến một máy chủ chứa đầy mã độc Discord.
Theo phân tích của Check Point Research, hình thức lừa đảo Discord này lợi dụng cách nền tảng xử lý các URL mời máy chủ. Nếu bạn đã từng sử dụng Discord, chắc chắn bạn đã thấy các link mời có định dạng “discord.gg” theo sau là một chuỗi ký tự ngẫu nhiên. Nhiều cộng đồng và dự án sử dụng máy chủ Discord để giao tiếp với người dùng, và đôi khi, một link mời trên kho GitHub hoặc trang web chính thức có thể bị cấu hình sai, hết hạn, hoặc đơn giản là bị loại bỏ khi dự án hoàn thành.
Điều tưởng chừng vô hại này lại đang bị các tác nhân độc hại khai thác để phát tán phần mềm độc hại thông qua Discord, một cách thức rất thuyết phục và khó nhận biết.
Hình ảnh minh họa giao diện Windows Security trên laptop Windows 11, tượng trưng cho việc bảo vệ máy tính trước các mối đe dọa mã độc từ Discord.
Cách Thức Tấn Công Tinh Vi Lợi Dụng Lỗ Hổng Từ Link Mời Discord
Bên cạnh các link mời Discord được tạo ngẫu nhiên, người dùng còn có thể tạo ra các loại link mời khác. Khi một máy chủ Discord đạt đủ số lượng “Boost” (được đóng góp bởi người đăng ký Discord Nitro hoặc mua riêng), các tính năng mới sẽ được mở khóa. Một trong số đó là khả năng tạo vanity server invite URL – một địa chỉ mời tùy chỉnh (custom suffix) được gắn vào “discord.gg”. Điều này giúp link trở nên cá nhân hóa, dễ nhớ và dễ chia sẻ hơn. Các vanity URL chỉ hỗ trợ chữ cái thường và số; nếu bạn cố gắng thêm chữ cái hoa, Discord sẽ tự động chuyển nó thành chữ thường.
Cuộc tấn công bắt đầu khi một hacker sở hữu một máy chủ được “Boost” cấp 3. Kẻ tấn công sẽ tìm một link mời đến một máy chủ Discord uy tín và ghi lại đoạn mã ngẫu nhiên ở cuối URL (nếu tất cả các ký tự trong link đều là chữ thường). Sau đó, link mời này sẽ được theo dõi cho đến khi nó “chết” (hết hạn). Một vanity link không thể trùng với một link mời đang hoạt động, nên có một khoảng thời gian chờ đợi. Hoặc, nếu một máy chủ cộng đồng sử dụng vanity URL rồi mất cấp độ Boost, thì link tùy chỉnh đó cũng có thể bị “cướp” khi nó không còn được sử dụng. Tóm lại, kẻ tấn công có thể sao chép một link mời tạm thời đã hết hạn hoặc một vanity URL vừa được “nhả”. Từ đó, một link mời tưởng chừng vô hại lại trỏ đến một máy chủ chứa mã độc.
Diễn Biến Của Cuộc Tấn Công: Từ Bot “Safeguard” Đến Mã Độc Nguy Hiểm
Khi nạn nhân không nghi ngờ gì truy cập vào máy chủ độc hại, họ sẽ được chào đón bởi một bot có tên là “Safeguard”. Bot này sẽ hướng dẫn mục tiêu đến một trang web, tuyên bố rằng đó là để xác minh người dùng và cho phép họ truy cập máy chủ. Khi người dùng nhấp vào link, trang web này nhanh chóng thu thập tên người dùng, avatar và banner của nạn nhân, sau đó tạo ra một trang đăng nhập Discord giả mạo với thông tin này để làm cho nó trông giống thật. Nhiều máy chủ cộng đồng lớn sử dụng các bot tương tự để chống lại các cuộc tấn công tự động và spammer, vì vậy điều này sẽ không gây ra bất kỳ nghi ngờ đặc biệt nào.
Tuy nhiên, mọi thứ nhanh chóng chệch hướng khỏi quy trình xác minh tiêu chuẩn mà hầu hết các máy chủ lớn thường yêu cầu người dùng trải qua. Trang web tải lên sẽ hiển thị một nút có dòng chữ “Verify” (Xác minh). Nhấp vào nút này sẽ âm thầm đặt một lệnh PowerShell vào clipboard của mục tiêu. Quy trình xác minh giả mạo sau đó yêu cầu nạn nhân mở hộp thoại Windows Run, dán “chuỗi xác minh” (thực chất là một lệnh PowerShell độc hại để tải xuống và thực thi một tệp cài đặt từ nguồn trực tuyến), và nhấn Enter. Tệp cài đặt sau đó sẽ tải xuống và cài đặt hai ứng dụng độc hại sau vài phút:
Các Loại Mã Độc Được Cài Đặt
- Skuld Stealer: Một loại phần mềm đánh cắp thông tin, chuyên nhắm mục tiêu vào chi tiết ví tiền điện tử của nạn nhân.
- AsyncRAT: Một Trojan truy cập từ xa (Remote Access Trojan – RAT), cho phép kẻ tấn công kiểm soát máy tính của mục tiêu từ xa, có thể theo dõi hoạt động, đánh cắp dữ liệu hoặc thực hiện các hành vi độc hại khác.
Làm Thế Nào Để Phòng Tránh Cuộc Tấn Công Mã Độc Discord Này?
May mắn thay, việc tránh né cuộc tấn công mã độc Discord này khá đơn giản. Nếu một trang web nào đó yêu cầu bạn mở Windows Run để dán một đoạn mã, đó gần như chắc chắn là một âm mưu lừa đảo nhằm cài đặt phần mềm độc hại. Chừng nào bạn rời khỏi trang đó và từ chối chạy đoạn mã, cuộc tấn công sẽ không thể khởi tạo, và máy tính của bạn sẽ an toàn.
Đây là một cuộc tấn công tinh vi, phần lớn trông có vẻ hòa nhập một cách liền mạch vào những gì bạn mong đợi từ một máy chủ Discord hợp pháp. Theo Check Point Research, Discord đã gỡ bỏ bot cụ thể này, nhưng rất có thể các cuộc tấn công tương tự sẽ được thử nghiệm trong tương lai. Người dùng Việt Nam cần đặc biệt cảnh giác trước các hình thức lừa đảo Discord ngày càng tinh vi này.
Hãy luôn cảnh giác với các yêu cầu lạ và không bao giờ thực hiện các hành động đáng ngờ trên máy tính của bạn. Chia sẻ thông tin này để bảo vệ bạn bè và cộng đồng Discord khỏi nguy cơ mã độc và lừa đảo tinh vi.