Una nuova campagna malware sta sfruttando una vulnerabilità nel sistema di inviti di Discord per distribuire pericolosi software come AsyncRAT e Skuld Stealer, con un focus particolare sul furto di portafogli di criptovalute. Gli attaccanti riescono a prendere il controllo di link di invito Discord scaduti o cancellati, utilizzando la funzione di vanity link per registrare codici già usati e reindirizzare in modo silenzioso gli utenti verso server malevoli. Questo significa che anche link di invito pubblicati in passato su forum o social possono ora portare a server controllati da cybercriminali.

Tecnica d’attacco e social engineering

La tecnica impiegata combina phishing, loader multi-stadio ed evasione temporale, rendendo l’attacco difficile da rilevare. Una volta che un utente clicca su un link compromesso e si unisce al server Discord dannoso, viene invitato a completare una verifica tramite un bot, che lo guida verso un sito fasullo con un pulsante "Verify". Qui entra in gioco una strategia di social engineering nota come ClickFix: premendo il pulsante, uno script copia un comando PowerShell negli appunti, che l’utente viene poi invitato a incollare nella finestra Esegui di Windows. In realtà, questo avvia il download di uno script dannoso che scarica e installa AsyncRAT e Skuld Stealer.

Caratteristiche dei malware: AsyncRAT e Skuld Stealer

AsyncRAT fornisce controllo remoto totale sul sistema infetto, utilizzando una tecnica chiamata dead drop resolver che sfrutta Pastebin come intermediario per contattare il vero server di comando e controllo. Skuld Stealer è invece un info-stealer scritto in Golang, progettato per sottrarre dati sensibili da Discord, browser, piattaforme di gioco e, soprattutto, portafogli di criptovalute. Questo malware può estrarre seed phrase e password da wallet come Exodus e Atomic, sostituendo file legittimi delle applicazioni con versioni trojanizzate scaricate da repository GitHub.

Metodi di evasione e diffusione

Per bypassare le protezioni di Chrome, viene impiegata una variante di ChromeKatz, mentre i dati rubati vengono esfiltrati tramite webhook di Discord. I payload e le comunicazioni vengono veicolati attraverso servizi cloud come GitHub, Bitbucket, Pastebin e Discord stesso, così da confondersi con il traffico legittimo e sfuggire ai controlli di sicurezza. Discord ha già disabilitato il bot malevolo, ma la campagna resta un esempio chiaro di quanto sia rischioso riutilizzare o lasciare pubblici vecchi link di invito. Le vittime sono state individuate in paesi come Stati Uniti, Vietnam, Francia, Germania e Regno Unito, confermando il target globale di questa minaccia, soprattutto verso utenti crypto motivati da guadagno finanziario.