13.06.2025
1 хв
548
Кіберзлочинці використовують вразливість у системі запрошень Discord, щоб заманити жертв на шкідливі сервери. Під виглядом перевірки акаунту вони змушують користувачів вручну запускати PowerShell-команди, які встановлюють шкідливе ПЗ AsyncRAT та Skuld Stealer — потужний інфостілер, націлений на криптогаманці.
Суть атаки полягає в захопленні прострочених або видалених інвайт-посилань Discord, які користувачі раніше вважали надійними. Нападники відновлюють такі лінки через функцію кастомних vanity-URL і спрямовують жертв на свої сервери.
Після приєднання до сервера користувачам пропонують пройти “верифікацію”, натиснувши кнопку Verify. У цей момент запускається механізм ClickFix: JavaScript-скрипт копіює шкідливу PowerShell-команду в буфер обміну та просить вставити її вручну в Windows Run. В результаті завантажується та виконується скрипт із Pastebin, який довантажує шкідливий AsyncRAT і Skuld Stealer.
Skuld краде:
* seed-фрази й паролі від Exodus і Atomic Wallet,
* облікові дані з Discord, браузерів і геймерських платформ,
* криптовалютні гаманці через техніку wallet injection — підміна оригінальних файлів застосунку троянськими версіями з GitHub.
Це вже не перше використання Discord як інфраструктури атак. Через її CDN та системи ботів зловмисники регулярно поширюють малваре, не порушуючи жодних політик платформи.
Зловмисники об’єднують соціальну інженерію, багатоступеневі завантажувачі, скрипти PowerShell, щоб обійти захист, ввести в оману жертв і заражати системи. Атака ідеально маскується під звичайну активність Discord, використовуючи довіру до публічних інвайт-посилань.
