Una campaña de ciberamenazas se basa en una vulnerabilidad de Discord

Discord es una herramienta conversacional muy popular tanto en empresas como en comunidades de gamers. Según una nota de Check Point Software, “cuando un enlace personalizado caduca o un servidor pierde su estatus premium, ese código puede ser reclamado nuevamente por cualquier usuario”. En esta vulnerabilidad se ha basado una campaña que ha logrado al menos 1.300 descargas en Estados Unidos, Vietnam, Francia, Alemania y Reino Unido.

Los atacantes registran los códigos antiguos y redirigen a los usuarios a un servidor malicioso, con un canal “verify” que parece legítimo. Un bot llamado “Safeguard” requiere una verificación que les lleva a una web de phishing enmascarada como Discord, en la que se copia automáticamente un comando PowerShell en el ordenador de la víctima. Con la técnica ClicFix, se empuja al usuario a ejecutarlo, lo que inicia la descarga de componentes como AsyncRAT y Skuld Stealer.

Con el primero de esos componentes los atacantes se hacen con el control remoto del sistema. Por su parte, Skuld Stealer es un malware “diseñado para robar credenciales de navegador y carteras de criptomonedas”. El objetivo principal parece ser ese: robar las credenciales y los activos financieros digitales. El método es bastante silencioso, con “comandos simples, tareas programadas y ejecución basada en comportamiento”.

Eusebio Nieva, director técnico de Check Point Software para España y Portugal, explica que “esta campaña demuestra cómo incluso funciones aparentemente inofensivas pueden convertirse en vectores de ataque altamente efectivos cuando no están debidamente protegidas”. El uso de servicios de confianza, como el propio Discord, GitHub, Bitbucket o Pastebin, ayuda a los atacantes a esquivar los sistemas de detección.