(https://www.bleepstatic.com/content/hl-images/2025/05/08/Discord.jpg)
Los hackers están secuestrando enlaces de invitación de Discord caducados o eliminados para redirigir a los usuarios a sitios maliciosos que distribuyen troyanos de acceso remoto y malware que roba información.
La campaña se basa en una falla en el sistema de invitaciones de Discord para aprovechar infecciones multietapa que evaden múltiples antivirus.
"Reviviendo" invitaciones de Discord caducadas
Los enlaces de invitación de Discord son URL que permiten unirse a un servidor específico. Contienen un código de invitación, un identificador único que otorga acceso a un servidor y puede ser temporal, permanente o personalizado. Estos enlaces están disponibles para servidores de nivel 3 que pagan por beneficios especiales.
Como parte de los beneficios de los servidores de Discord de nivel 3, los administradores pueden crear un código de invitación personalizado. En los servidores normales, Discord genera enlaces de invitación aleatorios automáticamente y la probabilidad de que uno se repita es muy baja.
Sin embargo, los hackers observaron que cuando un servidor de nivel 3 pierde su estado de "boost", el código de invitación personalizado queda disponible y puede ser reclamado por otro servidor.
Investigadores de la empresa de ciberseguridad Check Point afirman que esto también aplica a invitaciones temporales caducadas o enlaces de invitación permanentes eliminados.
Afirman que «el mecanismo para crear enlaces de invitación personalizados permite, sorprendentemente, reutilizar códigos de invitación temporales caducados y, en algunos casos, códigos de invitación permanentes eliminados».
Secuestrar un código de invitación temporal (arriba) y reutilizarlo en un enlace personalizado (abajo)
(https://www.bleepstatic.com/images/news/u/1220909/2025/June/invite.jpg)
Además, los investigadores afirman que el mecanismo defectuoso de Discord no modifica el tiempo de expiración de un código de invitación temporal ya generado al reutilizarlo como enlace de invitación permanente.
"Los usuarios a menudo creen erróneamente que, con solo marcar esta casilla, han hecho que la invitación existente sea permanente (y fue este malentendido el que se explotó en el ataque que observamos)" - Check Point
Un código de invitación con letras minúsculas y dígitos no se puede registrar mientras esté activo. Sin embargo, si el código contiene letras mayúsculas, se puede reutilizar en enlaces vanidosos con minúsculas, incluso si el original sigue siendo válido.
Los investigadores de Check Point explican que esto es posible porque Discord almacena y compara los enlaces vanidosos en minúsculas. Como resultado, el mismo código con letras minúsculas y mayúsculas es válido para dos servidores separados al mismo tiempo.
Redirección a servidores maliciosos
Los atacantes monitorean las invitaciones de Discord eliminadas o caducadas y las utilizan en una campaña que ha afectado a 1300 usuarios en EE. UU., Reino Unido, Francia, Países Bajos y Alemania, según el recuento de descargas de las cargas maliciosas de Check Point.
Los investigadores afirman que los ciberdelincuentes están secuestrando enlaces de invitación de Discord de comunidades legítimas y compartiéndolos en redes sociales o sitios web oficiales de las comunidades. Para dar credibilidad al engaño, los hackers diseñan los servidores maliciosos para que parezcan auténticos.
Los servidores maliciosos de Discord solo muestran un canal al visitante, #verify, y un bot solicita al usuario que complete un proceso de verificación.
Canal de Discord del atacante
(https://www.bleepstatic.com/images/news/u/1220909/2025/June/discord-channel.jpg)
Al intentarlo, se lanza un ataque típico de "ClickFix", en el que se redirige al usuario a un sitio web que imita la interfaz de Discord y simula que el CAPTCHA no se cargó.
Se engaña al usuario para que abra manualmente el cuadro de diálogo Ejecutar de Windows y pegue un comando de PowerShell que ya había copiado al portapapeles para su ejecución.
La página ClickFix
(https://www.bleepstatic.com/images/news/u/1220909/2025/June/clickfix.jpg)
Al hacerlo, se desencadena una infección multietapa que involucra descargadores de PowerShell, cargadores de C++ ofuscados y archivos VBScript.
Las cargas útiles finales se descargan del servicio legítimo de colaboración de software y alojamiento de archivos Bitbucket, e incluyen:
AsyncRAT: Distribuido como 'AClient.exe', esta es la versión 0.5.8 del malware que utiliza Pastebin para obtener su dirección C2 dinámicamente. Sus capacidades incluyen operaciones con archivos, registro de pulsaciones de teclas y acceso a cámara web/micrófono.
Skuld Stealer: Distribuido como 'skul.exe', este ladrón de información se centra en credenciales del navegador, cookies, tokens de Discord y datos de monederos de criptomonedas (inyecta JavaScript para robar frases mnemotécnicas y contraseñas mediante webhooks de Discord).
ChromeKatz: Una versión personalizada de la herramienta de código abierto, distribuida como 'cks.exe', que puede robar cookies y contraseñas.
Los investigadores también descubrieron que se añade una tarea programada en el host para volver a ejecutar el cargador de malware cada cinco minutos.
Cadena de infección de ClickFix al malware
(https://www.bleepstatic.com/images/news/u/1220909/2025/June/ps-malware.jpg)
Para protegerse de esta amenaza, se recomienda a los usuarios de Discord que eviten confiar en enlaces de invitación antiguos, especialmente los de publicaciones de hace meses, que traten las solicitudes de verificación con extrema precaución y que nunca ejecuten comandos de PowerShell copiados que no comprendan completamente.
Además, se recomienda a los administradores de servidores de Discord que utilicen invitaciones permanentes, que son más difíciles de piratear.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/discord-flaw-lets-hackers-reuse-expired-invites-in-malware-campaign/