Несколько недель назад мы рассказывали об одной эффективной приманке, которая может заставить пользователя Discord задуматься о переходе по мошеннической ссылке, которую ему великодушно дал случайный пользователь или легитимный собеседник, попавшийся на ту же уловку: бесплатная подписка на Discord Nitro.

И подобно тому, как мошенники неоднократно обманывали пользователей Discord, они также наживаются на пользователях Steam (Помните ту аферу "Я случайно сообщил о вас"?).

Однако здесь новизна в том, что мошенники охотятся на обоих пользователей одновременно. С таким обычно не сталкиваешься каждый день.

Это мошенничество в Discord не связано с вашими учетными данными в Discord

Сейчас в Discord циркулирует свежая, активная афера, распространяемая ботами или аккаунтами, контролируемыми мошенниками. Ниже приведен примерный скриншот того, что вы можете обнаружить в своих личных сообщениях:

Смотрите, здесь бесплатное нитро на 1 месяц, просто привяжите свой аккаунт Steam и наслаждайтесь -

{частично отредактированный URL}

Когда пользователи Discord нажимают на ссылку, они попадают на сайт, который выглядит и ощущается как легитимная страница Discord.

При нажатии на кнопку "Получить Nitro" открывается нечто, обманчиво напоминающее всплывающее окно Steam, хотя на самом деле это не отдельное окно, а часть самого сайта.

Эта тактика похожа на ту, которую мошенники использовали около двух лет назад, описанную здесь пользователем Reddit /Bangaladore. В посте он подробно описывает, как он (или его друг) выяснил, что всплывающее окно на самом деле не является таковым: "Если вы попытаетесь перетащить окно из родительского окна хрома, что произойдет? Вы не можете. Оно просто останавливается у края. Если вы прокручиваете подлинную страницу вверх и вниз, знак Steam в [цитата] окне перемещается вместе с ней. Обычное всплывающее окно так себя не ведет".

Как вы можете видеть выше, у этого конкретного всплывающего окна были некоторые проблемы с загрузкой элементов, поэтому оно выглядит не так, как обычно. Но мы хотели бы отметить, что, хотя сайты, которые мы посетили и проанализировали, связанные с этой аферой, используют один и тот же интерфейс, бывают случаи, когда код не работает, и поддельный URL в поддельной адресной строке не отображается так, как должен. Вот лучший пример с сайта, связанного с этой аферой, на котором все отлично загружается:

Когда пользователи Discord вводят свои учетные данные Steam в поддельном всплывающем окне, появляется сообщение об ошибке: "Имя учетной записи или пароль, которые вы ввели, неверны". Однако за кадром их учетные данные Steam уже сохранены на мошенническом сайте.

Ниже представлен ролик, демонстрирующий эту аферу в действии (благодарность Stefan Dasic, который проанализировал URL-адреса и записал этот ролик):

Malwarebytes уже блокирует 195[dot]133[dot]16[dot]40, IP этой аферы. Мы также обнаружили более сотни других мошеннических доменов, сидящих на этом IP. Вот выборка:

1nitro.club
appnitro-discord.com
asstralissteam.org.ru
discord-steam-promo.com
discordgifte.com
dicsord-ticket.com
discord-appnitro.com
ds-nitro.com
nitro-discordapp.com
nitrodsgiveways.com
steam-nitro.online

Оставайтесь там в безопасности! И, пожалуйста, не переходите по ссылкам, которые появляются неожиданно.

Материал подготовлен в рамках курса «Reverse-Engineering».

Всех желающих приглашаем на бесплатный двухдневный интенсив «Типовые алгоритмы работы файловых инфекторов». На первом занятии мы: разберём структуры PE формата, пройдёмся в них в HEX редакторе, добьёмся необходимых изменений для внедрения кода.
>> РЕГИСТРАЦИЯ