Trong thế giới kỹ thuật số ngày nay, việc tìm kiếm và tham gia các cộng đồng trực tuyến qua Discord đã trở nên phổ biến. Tuy nhiên, ít ai ngờ rằng ngay cả những liên kết mời (invite link) tưởng chừng vô hại, đã hết hạn hoặc bị bỏ quên, cũng có thể trở thành công cụ lợi hại cho các cuộc tấn công lừa đảo tinh vi. Gần đây, các chuyên gia bảo mật đã phát hiện ra một chiêu trò mới, trong đó kẻ xấu lợi dụng sơ hở trong cách Discord xử lý các URL mời để phát tán mã độc, đánh lừa người dùng thông qua các trang xác minh giả mạo.
Sự Tinh Vi Của Chiêu Trò Lợi Dụng Link Discord để Phân Tán Mã Độc
Để hiểu rõ hơn về cách thức tấn công, trước tiên chúng ta cần biết về các loại liên kết mời trên Discord. Thông thường, một liên kết mời Discord có dạng “discord.gg” theo sau là một chuỗi ký tự ngẫu nhiên bao gồm cả chữ hoa, chữ thường và số. Những liên kết này thường được các cộng đồng hoặc dự án sử dụng để kết nối với người dùng, và đôi khi, một liên kết trên trang GitHub chính thức hoặc website có thể bị cấu hình sai để hết hạn hoặc đơn giản là bị ngừng sử dụng khi dự án kết thúc.
Tuy nhiên, Discord còn có một loại liên kết đặc biệt hơn: Vanity URL. Khi một máy chủ (server) Discord đạt đủ số lượng “Boost” (được đóng góp bởi người dùng Discord Nitro hoặc mua riêng), các tính năng cao cấp sẽ được mở khóa, trong đó có khả năng tạo Vanity URL. Đây là các liên kết mời tùy chỉnh với hậu tố dễ nhớ, chỉ hỗ trợ chữ thường và số. Chính sự đa dạng và cách quản lý các loại liên kết này đã tạo ra kẽ hở cho kẻ xấu khai thác.
Người dùng kiểm tra cài đặt bảo mật trên laptop Windows 11
Cuộc tấn công bắt đầu khi một hacker, sở hữu một server Discord đã đạt Cấp độ 3 Boost, tiến hành theo dõi các liên kết mời từ các server uy tín. Kẻ xấu sẽ ghi lại các mã ngẫu nhiên của liên kết hoặc Vanity URL nếu chúng chỉ chứa chữ thường. Sau đó, họ sẽ chờ đợi cho đến khi các liên kết này “chết đi” – tức là hết hạn hoặc bị chủ sở hữu server cũ bỏ trống. Điều này là cần thiết vì một Vanity URL không thể trùng với một liên kết mời đang hoạt động. Khi liên kết hết hạn hoặc Vanity URL bị “nhả”, hacker nhanh chóng chiếm đoạt và sử dụng nó để trỏ đến server độc hại của mình.
Kịch Bản Tấn Công Chi Tiết: Từ Bot “Safeguard” Đến Mã Độc Nguy Hiểm
Một khi nạn nhân vô tình truy cập vào server Discord độc hại thông qua liên kết bị chiếm đoạt, họ sẽ bị cuốn vào một kịch bản lừa đảo được dàn dựng công phu, khai thác tâm lý tin tưởng và sự quen thuộc với các quy trình xác minh trên Discord.
Bước 1: Chiếm Đoạt Liên Kết và Dụ Dỗ Nạn Nhân
Sau khi hacker đã chiếm đoạt được một liên kết mời hết hạn hoặc một Vanity URL bị bỏ trống, họ sẽ cấu hình liên kết đó để dẫn người dùng đến một máy chủ Discord do họ kiểm soát. Nạn nhân, nghĩ rằng mình đang truy cập vào một cộng đồng hợp pháp, sẽ không hề nghi ngờ khi thấy một liên kết quen thuộc. Điều này đặc biệt nguy hiểm nếu liên kết ban đầu được chia sẻ trên các nền tảng đáng tin cậy như GitHub hoặc website chính thức.
Bước 2: Lừa Đảo Xác Minh Giả Mạo
Khi nạn nhân đặt chân lên server độc hại, họ sẽ được chào đón bởi một bot có tên “Safeguard”. Con bot này sẽ ngay lập tức hướng dẫn người dùng đến một trang web bên ngoài, với lý do là để xác minh danh tính và cấp quyền truy cập vào server. Đây là một chiêu trò quen thuộc, bởi nhiều server cộng đồng lớn thường sử dụng các bot xác minh để chống lại spammer và tấn công tự động, khiến nạn nhân ít cảnh giác.
Khi người dùng nhấp vào liên kết xác minh, trang web giả mạo sẽ nhanh chóng thu thập thông tin công khai của họ như tên người dùng, avatar, và banner. Sau đó, trang web sẽ sử dụng những thông tin này để tạo ra một giao diện đăng nhập Discord giả mạo, trông y hệt trang thật, nhằm tăng thêm độ tin cậy.
Bước 3: Cài Đặt Mã Độc Qua Lệnh PowerShell
Tuy nhiên, mọi thứ bắt đầu đi chệch khỏi quy trình xác minh thông thường. Trang web sẽ hiển thị một nút “Verify”. Khi nhấp vào nút này, một lệnh PowerShell độc hại sẽ được “âm thầm” đưa vào clipboard của nạn nhân. Tiếp theo, trang web giả mạo sẽ yêu cầu người dùng mở hộp thoại Windows Run, dán “chuỗi xác minh” (thực chất là lệnh PowerShell độc hại) vào đó và nhấn Enter.
Chính thao tác này là điểm mấu chốt của cuộc tấn công. Lệnh PowerShell được dán vào sẽ tải xuống và thực thi hai ứng dụng độc hại nguy hiểm chỉ sau vài phút:
- Skuld Stealer: Một loại mã độc chuyên đánh cắp thông tin ví tiền điện tử (crypto wallet details), gây thiệt hại tài chính nghiêm trọng cho nạn nhân.
- AsyncRAT: Một loại Trojan truy cập từ xa (Remote Access Trojan – RAT), cho phép kẻ tấn công kiểm soát hoàn toàn máy tính của nạn nhân từ xa, bao gồm việc truy cập dữ liệu cá nhân, cài đặt phần mềm khác hoặc thực hiện các hành vi độc hại khác.
Làm Thế Nào Để Tự Bảo Vệ Trước Các Cuộc Tấn Công Lừa Đảo Qua Discord?
May mắn thay, việc phòng tránh cuộc tấn công tinh vi này lại tương đối đơn giản nếu bạn biết những dấu hiệu cảnh báo.
Quy tắc vàng để tự bảo vệ mình là: Tuyệt đối không bao giờ chạy bất kỳ lệnh nào trên hộp thoại Windows Run nếu một trang web yêu cầu. Bất kể lý do xác minh hay mục đích nào được đưa ra, nếu một website yêu cầu bạn dán và thực thi mã qua Windows Run, đó gần như chắc chắn là một nỗ lực lừa đảo để cài đặt mã độc. Chỉ cần bạn rời khỏi trang đó và từ chối chạy mã, cuộc tấn công sẽ không thể diễn ra và máy tính của bạn sẽ an toàn.
Ngoài ra, hãy luôn kiểm tra kỹ nguồn gốc của các liên kết mời Discord, đặc biệt là khi chúng xuất hiện ở những nơi không mong đợi hoặc có vẻ đáng ngờ. Hãy cảnh giác với các yêu cầu xác minh bất thường, ngay cả khi chúng trông rất giống Discord. Mặc dù Discord đã gỡ bỏ bot “Safeguard” cụ thể này, nhưng khả năng cao là các cuộc tấn công tương tự sẽ tiếp tục xuất hiện trong tương lai với các biến thể khác.
Hãy luôn đề cao cảnh giác khi tương tác trực tuyến, đặc biệt là trên các nền tảng xã hội như Discord, để bảo vệ tài sản số và thông tin cá nhân của bạn khỏi những chiêu trò lừa đảo ngày càng tinh vi. Nếu bạn có bất kỳ thắc mắc hay kinh nghiệm nào về các cuộc tấn công tương tự, hãy chia sẻ ý kiến của bạn ở phần bình luận bên dưới để cùng xây dựng một cộng đồng an toàn hơn.
