Invitaciones maliciosas de Discord apuntan a jugadores con servidores falsos, billeteras robadas y malware enmascarado como trucos de juego.

Investigadores han revelado que los ciberdelincuentes están aprovechando una vulnerabilidad poco conocida en el sistema de invitaciones de Discord para lanzar ataques de malware en múltiples etapas, siendo los gamers su principal objetivo. Este nuevo enfoque implica la reactivación de enlaces de invitación que una vez fueron válidos pero que ahora han sido expirados; los atacantes están registrando estos enlaces con URLs personalizadas y redirigiéndolos hacia servidores maliciosos.

Los enlaces comprometidos, que a menudo se encuentran en publicaciones antiguas de foros, páginas comunitarias o redes sociales, conducen a los usuarios a servidores falsos de Discord administrados por los delincuentes. Al ingresar, se les presenta un proceso de verificación que parece legítimo. Un bot llamado “Safeguard” pide a los visitantes que hagan clic en un botón de "Verificar", lo que inicia un proceso de OAuth2 y los redirige a un sitio de phishing. Este sitio utiliza un método de ingeniería social denominado "ClickFix", engañando a los usuarios para que copien y ejecuten un comando de PowerShell bajo la apariencia de reparar un CAPTCHA roto.

Este movimiento activa silenciosamente una cadena de instalación de malware. Los atacantes utilizan servicios en la nube como Pastebin, GitHub y Bitbucket para entregar sus cargas útiles en múltiples etapas, lo que les permite evadir la detección en el tráfico normal de red. Los scripts iniciales descargan ejecutables que obtienen más cargas útiles cifradas, incluyendo AsyncRAT, que proporciona control remoto sobre los sistemas infectados, y una variante del Skuld Stealer diseñada para robar credenciales y datos de billeteras de criptomonedas.

Los jugadores son un objetivo privilegiado, dado que las campañas a menudo disfrazan el malware con herramientas como desbloqueadores de contenido adicional para The Sims 4. Un archivo específico llamado Sims4-Unlocker.zip se descargó más de 350 veces, resaltando la amplitud de la campaña. Gracias a técnicas de evasión, como la ejecución retrasada y la comprobación de argumentos de línea de comandos, este malware frecuentemente elude la detección, incluso de los mejores antivirus.

El riesgo que representan estas amenazas va más allá de las infecciones de malware convencionales. El Skuld Stealer implica que pueden extraerse frases semilla de billeteras de criptomonedas y contraseñas, otorgando a los atacantes el control total sobre los activos digitales de las víctimas. En vista de este enfoque en el robo de criptomonedas y la recolección de credenciales, se aconseja a las personas fortalecer sus defensas mediante servicios de protección contra el robo de identidad. Estas herramientas pueden supervisar el uso no autorizado de información personal, alertar sobre violaciones de datos y ayudar en la recuperación de identidades digitales comprometidas.

Aunque algunos podrían pensar que las herramientas de protección de endpoint los resguardan de estos ataques, la estructura modular y multilínea del ataque a menudo escapa a la detección. Por ello, los usuarios deben ser cautelosos con los enlaces de invitación de Discord, especialmente aquellos incrustados en contenido antiguo, y evitar ejecutar scripts inesperados o seguir pasos de verificación sospechosos.