Уязвимость, обнаруженная специалистами Check Point в июне 2025 года, связана с особенностями работы системы приглашений Discord и представляет серьёзную угрозу для пользователей по всему миру. Об этом пишет Securitylab.
Суть атаки заключается в том, что злоумышленники перехватывают истекшие ссылки-приглашения, созданные с помощью настроенных vanity-URL, доступных для серверов с подпиской уровня Boost 3. Когда такие серверы теряют премиум-статус, или когда срок действия временного пришлашения заканчивается, используемые ранее адреса становятся свободными для повторной регистрации. Киберпреступники быстро занимают эти URL и подключают их к собственным вредоносным серверам, внешне неотличимым от обыкновенных.
Жертвы, не подозревая о подмене, переходят по старым ссылкам, оставленным на форумах, в соцсетях или на сайтах, и попадают в руки атакующих. Схема распространения вредоносного ПО при этом построена в несколько этапов, с упором на маскировку и обход систем защиты. Всё начинается с подключения к фальшивому Discord-серверу, где пользователей встречает бот по имени «Safeguard», созданный специально под эту кампанию. Он предлагает пройти процесс «верификации», имитируя официальные процедуры Discord.
При нажатии на кнопку подтверждения пользователь попадает на внешнюю страницу, копирующую интерфейс Discord. Там якобы не загружается CAPTCHA от Google, после чего «система» предлагает ввести команды вручную — именно в этот момент нажатие на кнопку активирует скрипт, который незаметно копирует вредоносную команду PowerShell в буфер обмена.
Далее пользователю предлагают открыть диалоговое окно Win+R, вставить скопированную команду и нажать Enter. Никаких файлов при этом скачивать не нужно, что минимизирует подозрения и позволяет атаке пройти без срабатывания большинства антивирусов. Вставленная команда расшифровывает ссылку, закодированную в Base64, и запускает загрузку программы через Pastebin — в дальнейшем активируется многоступенчатая цепочка установки вредоносного ПО.
Загружаемые вредоносные модули включают в себя удалённый троян AsyncRAT и модифицированный Stealer Skuld, специально заточенный под кражу криптовалютных активов. Все этапы заражения данных проходят исключительно через легальные облачные платформы — GitHub, Bitbucket, Pastebin и сам Discord — что позволяет вредоносу не выделяться на фоне обычной активности в сети.
По данным Check Point, заражению подверглись как минимум 1 300 пользователей из разных стран, включая США, Вьетнам, Францию, Германию и Великобританию. Всё указывает на то, что атакующие ориентируются на финансовую выгоду — основными целями кампании стали владельцы криптокошельков и цифровых активов.