Chắc hẳn nhiều người trong chúng ta từng có thói quen nhấp vào một liên kết cũ để truy cập lại một trang web hay dịch vụ quen thuộc. Thường thì, những đường dẫn đó sẽ đưa bạn đến đúng nơi cần đến. Nhưng với Discord, một liên kết tưởng chừng vô hại lại có thể ẩn chứa nguy cơ lây nhiễm mã độc khổng lồ, đe dọa nghiêm trọng đến dữ liệu và quyền riêng tư của bạn.
Cảnh Báo Từ Check Point: Link Discord Cũ Đang Biến Thành Cửa Ngõ Mã Độc
Thật khó tin rằng một liên kết Discord vô tư lại có thể dẫn người dùng đến những phần mềm độc hại nguy hiểm. Tuy nhiên, đây chính xác là những gì các nhà nghiên cứu bảo mật tại Check Point đã phát hiện khi họ khám phá một chiến dịch phát tán mã độc quy mô lớn, lợi dụng triệt để các lời mời Discord cũ, đã hết hạn hoặc bị chiếm quyền.
Một liên kết mời Discord thông thường cho phép bạn truy cập trực tiếp vào máy chủ mà nó được gửi từ đó và đăng nhập. Các mã mời này chứa một mã định danh duy nhất, cấp cho bạn quyền truy cập vào máy chủ với các cấp độ khác nhau do người gửi thiết lập (ví dụ: tạm thời, vĩnh viễn, v.v.).
Trên Discord, có những máy chủ đặc biệt “Level 3” với các tính năng tăng cường, hỗ trợ tăng trưởng nhanh hơn, như có nhiều lời mời hơn, dung lượng cao hơn và đặc biệt là các liên kết tùy chỉnh (vanity links) dễ nhớ. Trong khi các lời mời Discord thông thường được tạo ngẫu nhiên, các tin tặc đang khai thác chính những liên kết tùy chỉnh cũ và có khả năng đã hết hạn này. Chúng được “tái sử dụng” để chuyển hướng người dùng đến các máy chủ độc hại, chứa phần mềm mã độc.
Khi bạn nhấp vào một trong những liên kết đã bị thao túng này, bạn sẽ được đưa đến một máy chủ Discord trông có vẻ giống thật và xác thực, nhưng lại yêu cầu bạn xác minh danh tính. Từ đây, liên kết sẽ khởi chạy một phiên bản của mã độc ClickFix, hiển thị một thông báo cho rằng CAPTCHA đã thất bại và hướng dẫn bạn xác minh thủ công.
Mô tả kỹ thuật social engineering lừa người dùng chạy lệnh độc hại trên Discord
Quy trình “xác minh thủ công” yêu cầu bạn chạy một lệnh Windows, lệnh này sẽ khởi động một script PowerShell. Script này sau đó sẽ tải xuống và cài đặt mã độc vào hệ thống của bạn. Đáng chú ý, nhóm nghiên cứu của Check Point đã phát hiện ra rằng script được sử dụng để tải và cài đặt mã độc này gần như không bị phát hiện bởi hầu hết các phần mềm diệt virus và chống mã độc hiện có, khiến việc tránh một cuộc tấn công như vậy trở nên vô cùng khó khăn.
Các Loại Mã Độc Nguy Hiểm Mà Link Discord Giả Mạo Có Thể Tải Xuống
Khi script độc hại được thực thi trên máy tính của bạn, nó sẽ cố gắng tải xuống và cài đặt những loại mã độc đặc biệt nguy hiểm. Ví dụ:
- AsyncRAT: Đây là một Trojan truy cập từ xa (Remote Access Trojan – RAT) mạnh mẽ, có thể cấp cho kẻ tấn công toàn quyền kiểm soát thiết bị của bạn, cho phép chúng thực hiện mọi hành vi từ xa.
- Skuld Stealer: Là một loại phần mềm đánh cắp thông tin (infostealer) nhắm mục tiêu vào dữ liệu người dùng nhạy cảm và đặc biệt là các ví tiền điện tử.
- ChromeKatz: Mã độc này được thiết kế để đánh cắp cookie trình duyệt và các thông tin quan trọng khác được lưu trữ trong trình duyệt của bạn.
Sau khi được cài đặt, sự kết hợp của các loại mã độc này có thể mang lại quyền truy cập rộng lớn vào bất kỳ thiết bị nào, từ đó đánh cắp dữ liệu rất nhạy cảm và thực hiện nhiều hành vi phá hoại khác.
Biện Pháp Bảo Vệ Bản Thân Khỏi Mã Độc Lây Lan Qua Link Discord
Để bảo vệ bản thân và dữ liệu cá nhân trước mối đe dọa từ các liên kết Discord độc hại, bạn cần thực hiện một số biện pháp phòng ngừa quan trọng:
- Tránh tất cả các liên kết mời Discord cũ: Bất kỳ liên kết nào được gửi cho bạn mà đã nằm trong hộp thư đến một thời gian dài và bạn chưa sử dụng, hãy loại bỏ nó ngay lập tức. Hãy coi đó là một liên kết tiềm ẩn nguy hiểm.
- Mở rộng cảnh giác với link trên các nền tảng khác: Hãy nghi ngờ bất kỳ liên kết mời Discord nào được lưu trữ trên các trang web, diễn đàn (như Reddit) hoặc bất kỳ nguồn không chính thức nào. Bất kỳ liên kết nào được nhúng vào một trang web như vậy đều có thể được coi là nguy hiểm, vì vậy hãy tránh nhấp vào chúng.
- Cảnh giác với yêu cầu xác minh lại: Nếu bạn nhấp vào một liên kết mời Discord và nó yêu cầu bạn xác minh lại danh tính của mình, đó là một dấu hiệu cảnh báo đỏ khác và là lý do chính đáng để đóng trang đó ngay lập tức. Bất kỳ máy chủ Discord nào hoặc bất kỳ trang web nào khác yêu cầu bạn chạy một lệnh cụ thể từ hộp thoại Run trong Windows cũng là một dấu hiệu cực kỳ xấu và nên tránh bằng mọi giá.
- Cập nhật phần mềm diệt virus/chống mã độc: Cuối cùng, hãy đảm bảo phần mềm diệt virus hoặc chống mã độc của bạn luôn được cập nhật. Mặc dù script mã độc Discord được phát hiện bởi rất ít công cụ diệt virus, nhưng việc có một công cụ được cập nhật thường xuyên sẽ giúp bảo vệ bạn chống lại bất kỳ loại mã độc nào khác có thể được cài đặt – dù không có phần mềm diệt virus nào là hoàn hảo!
Việc nâng cao cảnh giác khi tương tác với các liên kết, đặc biệt là những liên kết cũ hoặc từ các nguồn không đáng tin cậy, là vô cùng quan trọng trong môi trường trực tuyến đầy rẫy hiểm nguy hiện nay. Đừng để một cú nhấp chuột thiếu suy nghĩ đưa bạn vào thế khó. Hãy chia sẻ thông tin cảnh báo này để bảo vệ cộng đồng người dùng Discord!
