Campaña de Malware Secuestra Antiguos Enlaces de Discord Para Hackear a Usuarios de Criptomonedas

Los hackers están secuestrando enlaces de invitación caducados de Discord para engañar a los usuarios y provocar infecciones de malware que roban carteras de criptomonedas y eluden las herramientas de seguridad del navegador.

Según el equipo de investigación de CheckPoint, los ciberdelincuentes están utilizando enlaces de invitación a Discord caducados para dirigir a los usuarios hacia servidores maliciosos que resultan en infecciones avanzadas de malware.

Los atacantes secuestran antiguos enlaces de invitación, que pertenecían a comunidades de confianza, para dirigir a los usuarios hacia servidores Discord falsos. Los falsos servidores de Discord engañan a sus usuarios para que descarguen malware peligroso, incluyendo AsyncRAT y Skuld Stealer, malware dirigido a las carteras de criptomonedas.

Los atacantes explotan cómo Discord genera enlaces de invitación utilizando tanto capacidades de enlace temporales como permanentes. Los atacantes obtienen acceso a enlaces abandonados reclamándolos para establecer servidores Discord dañinos.

De esta manera, los usuarios que hacen clic en lo que parece ser invitaciones válidas de las redes sociales o publicaciones desactualizadas son llevados automáticamente a servidores maliciosos controlados por hackers.

Dentro de estos servidores falsos, los usuarios se encuentran con un bot llamado “Safeguard” que presenta un proceso de verificación falso. Después de que los usuarios inician el proceso de verificación, acceden a un sitio web de phishing, que ejecuta un peligroso comando de PowerShell.

El comando recupera software malicioso de GitHub, así como de las plataformas Bitbucket y Pastebin, con el fin de hacer que la operación se funda con el tráfico web estándar.

El malware ejecuta múltiples etapas para evadir los sistemas de detección. Un enlace de GitHub sirve como el primer objetivo de descarga para un script de PowerShell. El cargador recupera el malware encriptado de Bitbucket antes de desencriptarlo para su instalación en el sistema informático del usuario.

Las últimas cargas útiles – AsyncRAT y Skuld Stealer – permiten a los atacantes controlar sistemas de forma remota y robar información importante, incluyendo las credenciales de usuario, junto con los detalles de la billetera criptográfica de las aplicaciones Exodus y Atomic. El malware implementa retrasos temporizados, de hasta 15 minutos, para evadir sistemas de seguridad automatizados.

Además, los ciberatacantes descubrieron un método para eludir la protección proporcionada por la Encriptación de Aplicaciones de Google Chrome para cookies. Los atacantes modificaron ChromeKatz para habilitar la extracción directa de cookies de inicio de sesión desde la memoria de los navegadores Chrome, Edge y Brave.

Los ataques han tenido como objetivo a usuarios en todo Estados Unidos, además de Vietnam, Francia y Alemania, así como otras naciones adicionales. Los atacantes parecen tener como objetivo a los usuarios de criptomonedas, ya que su malware se dirige específicamente a las credenciales de las billeteras y frases de recuperación.

Los investigadores creen que los cibercriminales desarrollarán nuevos métodos a pesar de que Discord ha desactivado el bot específico utilizado en esta campaña. Los usuarios deben protegerse de tales ataques evitando las invitaciones desactualizadas de Discord, mientras se mantienen cautelosos con las solicitudes de verificación y mantienen actualizado su software antivirus.