Press Release: Campanha global utiliza links legítimos do Discord para enganar utilizadores e instalar malware em múltiplas fases, com foco no roubo de credenciais e carteiras de criptomoedas.
A Check Point Research (CPR), equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, identificou uma sofisticada campanha de malware que tira partido de uma vulnerabilidade no sistema de convites do Discord, uma plataforma amplamente utilizada e considerada segura por jogadores, comunidades, empresas e outros grupos que necessitam de se conectar de forma rápida e fiável.
Esta investigação da CPR revelou a existência de uma falha no sistema de convites do Discord que permite a utilização abusiva de links expirados ou eliminados, redirecionando utilizadores para servidores maliciosos sem o seu conhecimento.
Links partilhados por comunidades legítimas em fóruns, redes sociais ou sites oficiais, mesmo que publicados há meses, podem agora conduzir os utilizadores diretamente para mãos criminosas.
A CPR observou ataques reais em que estes links sequestrados foram usados para distribuir campanhas de phishing e malware sofisticadas, com infeções em múltiplas etapas que escapam à deteção de antivírus e sandboxes, entregando malwares como AsyncRAT e Skuld Stealer.
O Risco Oculto dos Links de Convite do Discord
O Discord disponibiliza vários tipos de links de convite: temporários, permanentes e vanity (personalizados). Links temporários expiram após determinado tempo, os permanentes não expiram, e os vanity são URLs personalizadas disponíveis apenas para servidores com status premium (nível 3 Boost).
A investigação da CPR revelou que os atacantes podem explorar a forma como o Discord gere códigos expirados ou apagados — em especial os vanity links. Quando um link personalizado expira ou um servidor perde o seu status Boost, o código pode voltar a estar disponível. Os atacantes podem então reclamar esse mesmo código e usá-lo para redirecionar utilizadores para servidores maliciosos.
Muitos utilizadores encontram esses links em fontes antigas e confiáveis e não desconfiam de nada. Em alguns casos, o próprio Discord pode dar a impressão errada de que um link temporário foi tornado permanente, o que só agrava o problema.
De Links Confiáveis a Servidores Maliciosos
Uma vez sequestrado o link, os utilizadores são direcionados para servidores que imitam o aspeto de servidores legítimos do Discord. Normalmente, a maioria dos canais está bloqueada, exceto um chamado “verify”. Aí, um bot falso com o nome “Safeguard” solicita que o utilizador complete um processo de verificação.
Clicar em “verify” inicia um processo OAuth2 e redireciona o utilizador para um site de phishing visualmente idêntico ao Discord. O site pré-carrega um comando malicioso em PowerShell para a área de transferência e orienta a vítima através de um falso processo de verificação. Esta técnica, conhecida como “ClickFix”, leva o utilizador a colar e executar o comando no menu “Executar” do Windows.
Uma vez executado, o script PowerShell descarrega componentes adicionais do Pastebin e do GitHub, iniciando uma cadeia de infeção em várias etapas. No final, o sistema da vítima está comprometido com cargas como o AsyncRAT (controlo remoto) e o Skuld Stealer (roubo de credenciais de browser e carteiras de criptomoeda).
Uma Campanha em Expansão e Evolução
A campanha está em constante evolução. A Check Point observou os atacantes a atualizar periodicamente os seus ficheiros de instalação, mantendo uma taxa de deteção nula no VirusTotal. Identificou-se ainda uma campanha paralela dirigida a gamers, onde o instalador inicial estava integrado num falso cheat tool para o jogo The Sims 4, mostrando a versatilidade dos atacantes para atingir diferentes perfis de vítimas.
Impacto e Alcance
É difícil determinar o número exato de vítimas devido à utilização furtiva de webhooks do Discord para exfiltrar dados. No entanto, os registos dos repositórios usados na campanha indicam mais de 1.300 downloads. As vítimas estão espalhadas por todo o mundo: EUA, Vietname, França, Alemanha, Reino Unido e outros.
O foco no roubo de credenciais e carteiras cripto evidencia o objetivo financeiro desta operação.
Uma Plataforma Confiável Tornada Vetor de Ataque
Esta campanha demonstra como uma simples funcionalidade do Discord pode ser explorada de forma maliciosa. Ao sequestrar links confiáveis, os atacantes criaram uma cadeia de ataque eficaz, combinando engenharia social com o abuso de serviços legítimos como GitHub, Bitbucket e Pastebin.
Em vez de recorrer a malware altamente ofuscado, os atacantes confiaram em técnicas furtivas, como execução baseada em comportamento, tarefas agendadas e desencriptação retardada dos ficheiros maliciosos.
A campanha revela um novo nível de sofisticação na engenharia social digital. Em vez de malwares complexos, os atacantes usaram serviços populares e truques simples de comportamento do utilizador para contornar os sistemas de segurança — expondo a fragilidade das plataformas populares quando as suas funcionalidades básicas não são protegidas.
O Discord desativou, entretanto, o bot malicioso usado nesta campanha, mas as táticas principais continuam viáveis. Os atacantes podem facilmente registar novos bots ou mudar de vetor, continuando a explorar o sistema de convites da plataforma.
Mantenha-se protegido
- Verifique os links de convite – Antes de clicar, inspecione o URL. Se o link for antigo (ex: vindo de um fórum ou publicação), confirme a sua validade.
- Prefira links permanentes – Ao gerir servidores, opte por links que não expiram e evite partilhar convites temporários em público.
- Verifique o selo “Verified App” nos bots – Só interaja com bots que apresentem o selo oficial da Discord. Bots não verificados podem ser maliciosos.
- Nunca execute comandos desconhecidos – Nenhum servidor legítimo exige a execução de comandos PowerShell. Pare e investigue.
- Adote uma defesa por camadas – Empresas devem combinar formação em cibersegurança com proteção de endpoint, deteção de phishing e ferramentas de segurança de browser.
- Use proteção proativa – A tecnologia Threat Emulation da Check Point previne ameaças em tempo real, como malware avançado, phishing e ficheiros maliciosos. Com análise comportamental e sandboxing, oferece proteção crítica contra ataques de engenharia social e malware multiestágio.
Para uma leitura mais detalhada sobre este ataque, consulte o relatório completo.
Siga a Check Point Software:
- X: http://www.twitter.com/checkpointsw
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
