A Check Point Research, equipa de investigadores da Check Point Software Technologies Ltd., identificou uma sofisticada campanha de malware que tira partido de uma vulnerabilidade no sistema de convites do Discord, uma plataforma amplamente utilizada e considerada segura por jogadores, comunidades, empresas e outros grupos que necessitam de se conectar de forma rápida e fiável.

Esta investigação da CPR revelou a existência de uma falha no sistema de convites do Discord que permite a utilização abusiva de links expirados ou eliminados, redirecionando utilizadores para servidores maliciosos sem o seu conhecimento.

Links partilhados por comunidades legítimas em fóruns, redes sociais ou sites oficiais, mesmo que publicados há meses, podem agora conduzir os utilizadores diretamente para mãos criminosas.

A CPR observou ataques reais em que estes links sequestrados foram usados para distribuir campanhas de phishing e malware sofisticadas, com infeções em múltiplas etapas que escapam à deteção de antivírus e sandboxes, entregando malwares como AsyncRAT e Skuld Stealer.

O Risco Oculto dos Links de Convite do Discord

O Discord disponibiliza vários tipos de links de convite: temporários, permanentes e vanity (personalizados). Links temporários expiram após determinado tempo, os permanentes não expiram, e os vanity são URLs personalizadas disponíveis apenas para servidores com status premium (nível 3 Boost).

A investigação da CPR revelou que os atacantes podem explorar a forma como o Discord gere códigos expirados ou apagados — em especial os vanity links. Quando um link personalizado expira ou um servidor perde o seu status Boost, o código pode voltar a estar disponível. Os atacantes podem então reclamar esse mesmo código e usá-lo para redirecionar utilizadores para servidores maliciosos.

Muitos utilizadores encontram esses links em fontes antigas e confiáveis e não desconfiam de nada. Em alguns casos, o próprio Discord pode dar a impressão errada de que um link temporário foi tornado permanente, o que só agrava o problema.

De Links Confiáveis a Servidores Maliciosos

Uma vez sequestrado o link, os utilizadores são direcionados para servidores que imitam o aspeto de servidores legítimos do Discord. Normalmente, a maioria dos canais está bloqueada, exceto um chamado “verify”. Aí, um bot falso com o nome “Safeguard” solicita que o utilizador complete um processo de verificação.

Clicar em “verify” inicia um processo OAuth2 e redireciona o utilizador para um site de phishing visualmente idêntico ao Discord. O site pré-carrega um comando malicioso em PowerShell para a área de transferência e orienta a vítima através de um falso processo de verificação. Esta técnica, conhecida como “ClickFix”, leva o utilizador a colar e executar o comando no menu “Executar” do Windows.

Uma vez executado, o script PowerShell descarrega componentes adicionais do Pastebin e do GitHub, iniciando uma cadeia de infeção em várias etapas. No final, o sistema da vítima está comprometido com cargas como o AsyncRAT (controlo remoto) e o Skuld Stealer (roubo de credenciais de browser e carteiras de criptomoeda).

Uma Campanha em Expansão e Evolução

A campanha está em constante evolução. A Check Point observou os atacantes a atualizar periodicamente os seus ficheiros de instalação, mantendo uma taxa de deteção nula no VirusTotal. Identificou-se ainda uma campanha paralela dirigida a gamers, onde o instalador inicial estava integrado num falso cheat tool para o jogo The Sims 4, mostrando a versatilidade dos atacantes para atingir diferentes perfis de vítimas.

Impacto e Alcance

É difícil determinar o número exato de vítimas devido à utilização furtiva de webhooks do Discord para exfiltrar dados. No entanto, os registos dos repositórios usados na campanha indicam mais de 1.300 downloads. As vítimas estão espalhadas por todo o mundo: EUA, Vietname, França, Alemanha, Reino Unido e outros.

O foco no roubo de credenciais e carteiras cripto evidencia o objetivo financeiro desta operação.

Uma Plataforma Confiável Tornada Vetor de Ataque

Esta campanha demonstra como uma simples funcionalidade do Discord pode ser explorada de forma maliciosa. Ao sequestrar links confiáveis, os atacantes criaram uma cadeia de ataque eficaz, combinando engenharia social com o abuso de serviços legítimos como GitHub, Bitbucket e Pastebin.

Em vez de recorrer a malware altamente ofuscado, os atacantes confiaram em técnicas furtivas, como execução baseada em comportamento, tarefas agendadas e desencriptação retardada dos ficheiros maliciosos.

A campanha revela um novo nível de sofisticação na engenharia social digital. Em vez de malwares complexos, os atacantes usaram serviços populares e truques simples de comportamento do utilizador para contornar os sistemas de segurança — expondo a fragilidade das plataformas populares quando as suas funcionalidades básicas não são protegidas.

O Discord desativou, entretanto, o bot malicioso usado nesta campanha, mas as táticas principais continuam viáveis. Os atacantes podem facilmente registar novos bots ou mudar de vetor, continuando a explorar o sistema de convites da plataforma.

Mantém-te protegido

• Verifica os links de convite – Antes de clicares, inspeciona o URL. Se o link for antigo (ex: vindo de um fórum ou publicação), confirma a sua validade.
• Prefere links permanentes – Ao gerires servidores, opta por links que não expiram e evita partilhar convites temporários em público.
• Verifica o selo “Verified App” nos bots – Só interage com bots que apresentem o selo oficial da Discord. Bots não verificados podem ser maliciosos.
• Nunca executes comandos desconhecidos – Nenhum servidor legítimo exige a execução de comandos PowerShell. Pára e investiga.
• Adota uma defesa por camadas – Empresas devem combinar formação em cibersegurança com proteção de endpoint, deteção de phishing e ferramentas de segurança de browser.
• Usa proteção proativa – A tecnologia Threat Emulation da Check Point previne ameaças em tempo real, como malware avançado, phishing e ficheiros maliciosos. Com análise comportamental e sandboxing, oferece proteção crítica contra ataques de engenharia social e malware multiestágio.