Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, advierte sobre una campaña global que aprovecha una vulnerabilidad en el ...read more
Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, advierte sobre una campaña global que aprovecha una vulnerabilidad en el sistema de invitaciones de Discord para redirigir a usuarios hacia servidores maliciosos. Esta técnica, que explota la reutilización de enlaces de invitación caducados o eliminados, ha permitido a los atacantes suplantar comunidades legítimas y engañar a miles de víctimas.
Discord, ampliamente utilizado por comunidades, gamers y empresas, permite generar distintos tipos de enlaces de invitación: temporales, permanentes y personalizados. Check Point Research ha descubierto que cuando un enlace personalizado caduca o un servidor pierde su estatus premium, ese código puede ser reclamado nuevamente por cualquier usuario. Los atacantes aprovechan esta vulnerabilidad para registrar esos códigos antiguos y redirigir a los usuarios a servidores controlados por ellos.
Una vez que un usuario accede al servidor malicioso mediante un enlace secuestrado, se encuentra con un canal llamado “verify”, aparentemente legítimo. Allí, un bot falso —denominado “Safeguard”— solicita un paso de verificación. Esta conduce a una web de phishing que imita a Discord, donde se copia automáticamente un comando de PowerShell en el portapapeles del usuario.
Mediante una técnica conocida como “ClickFix”, se induce al usuario a ejecutar ese comando en su sistema, iniciando así una cadena de infección que descarga componentes desde servicios legítimos como GitHub y Pastebin. Entre las cargas útiles detectadas se encuentran AsyncRAT, que otorga control remoto del sistema al atacante, y Skuld Stealer, diseñado para robar credenciales de navegador y carteras de criptomonedas.
Hasta la fecha, se han rastreado más de 1.300 descargas asociadas a esta campaña, con víctimas en EE. UU., Vietnam, Francia, Alemania, Reino Unido, entre otros países. El objetivo principal: el robo de credenciales y activos financieros digitales. Los investigadores también han detectado campañas paralelas dirigidas a gamers, como el caso de una herramienta de trampas modificada para The Sims 4 que incluía un loader malicioso.
En lugar de recurrir a técnicas de ofuscación avanzadas, los atacantes optan por métodos sigilosos: comandos simples, tareas programadas y ejecución basada en comportamiento. El uso de servicios de confianza como GitHub, Bitbucket o Pastebin les permite eludir soluciones tradicionales de detección.
Aunque Discord ha deshabilitado el bot malicioso, los vectores de ataque siguen vigentes. Los ciberdelincuentes pueden registrar nuevos bots o explotar la misma lógica en futuras campañas.
Check Point Software ofrece los siguientes consejos para protegerse frente a este tipo de amenazas:
• Verificar siempre los enlaces de invitación: si el origen es antiguo o poco fiable, confirmar su validez antes de acceder.
• Utilizar enlaces permanentes: evitar publicar invitaciones temporales en fuentes públicas.
• Autorizar sólo bots verificados: asegurarse de que los bots tengan el distintivo oficial de Discord.
• No ejecutar comandos desconocidos: ningún proceso legítimo de verificación requiere comandos de PowerShell.
• Implementar defensas en capas: formación, protección de endpoints, detección de phishing y seguridad en el navegador deben formar parte de una estrategia integral.
“Esta campaña demuestra cómo incluso funciones aparentemente inofensivas pueden convertirse en vectores de ataque altamente efectivos cuando no están debidamente protegidas”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad en NOLA de Check Point Software. “Soluciones como Check Point Threat Emulation ofrecen protección en tiempo real contra malware avanzado, phishing y amenazas basadas en archivos. Gracias a su análisis por comportamiento y capacidades de sandboxing, detecta y bloquea ataques incluso cuando estos usan técnicas nuevas o combinadas”.