Злоумышленники захватывают Discord-ссылки и распространяют вирусы, крадущие криптовалюту

Киберпреступники научились использовать особенность системы приглашений Discord, чтобы заманивать пользователей на фальшивые серверы и заражать их устройства вредоносным ПО. Об этом сообщает Check Point в техническом отчёте.

Суть атаки — в перехвате устаревших или удалённых ссылок-приглашений, особенно с настраиваемыми именами (vanity URL). Когда такие ссылки ранее публиковались на форумах или в блогах, пользователи продолжали им доверять. Преступники воспользовались этим доверием: они создают Discord-серверы с такими же ссылками и перенаправляют жертву к себе.

На фальшивом сервере предлагают пройти «проверку», нажать кнопку «Verify» и вставить скопированную команду в Windows — якобы для подтверждения личности. На деле — это PowerShell-скрипт, загружающий вредоносное ПО: удалённый доступ AsyncRAT и инфостилер Skuld.

Skuld умеет красть данные из браузеров, Discord, игровых платформ и криптокошельков, включая Exodus и Atomic. Он подменяет оригинальные файлы кошельков на троянизированные версии, скачанные с GitHub. Также применяется инструмент ChromeKatz для обхода защиты Chrome, а собранная информация уходит по Discord webhook.

Распространение вирусов происходит через Pastebin, Bitbucket, GitHub и сам Discord, что помогает преступникам маскировать вредоносный трафик под легитимный. Один из вариантов этой атаки — маскировка под взломщик пиратских игр, который скачали уже более 350 раз.

Анализ показал, что жертвами стали пользователи из США, Франции, Германии, Вьетнама и других стран. Основная цель преступников — криптокошельки, а мотив — финансовая выгода.