Check Point: устаревшие Discord-инвайты опустошили криптокошельки 1300 пользователей

Киберпреступники нашли способ превращать старые ссылки на Discord-серверы в ловушки: новая схема захвата устаревших инвайтов позволяет перенаправлять пользователей на вредоносные ресурсы, замаскированные под привычные сообщества. Уязвимость, обнаруженная специалистами Check Point в июне 2025 года, связана с особенностями работы системы приглашений Discord и представляет серьёзную угрозу для пользователей по всему миру.

Суть атаки заключается в том, что злоумышленники перехватывают истекшие ссылки-приглашения, созданные с помощью кастомных vanity-URL, доступных для серверов с подпиской уровня Boost 3. Когда такие серверы теряют премиум-статус, или когда срок действия временного инвайта заканчивается, используемые ранее адреса становятся свободными для повторной регистрации. Киберпреступники быстро занимают эти URL и подключают их к собственным вредоносным серверам, визуально неотличимым от легитимных.

Жертвы, не подозревая о подмене, переходят по старым ссылкам, оставленным на форумах, в соцсетях или на сайтах, и попадают в руки атакующих. Схема распространения вредоносного ПО при этом построена в несколько этапов, с упором на маскировку и обход систем защиты. Всё начинается с подключения к фальшивому Discord-серверу, где пользователей встречает бот по имени «Safeguard», созданный специально под эту кампанию. Он предлагает пройти процесс «верификации», имитируя официальные процедуры Discord.

При нажатии на кнопку верификации пользователь попадает на внешнюю страницу, копирующую интерфейс Discord. Там якобы не загружается CAPTCHA от Google, после чего «система» предлагает ввести команды вручную — именно в этот момент нажатие на кнопку активирует скрипт, который незаметно копирует вредоносную команду PowerShell в буфер обмена.

Далее пользователю предлагают открыть диалоговое окно Win+R, вставить скопированную команду и нажать Enter. Никаких файлов при этом скачивать не нужно, что минимизирует подозрения и позволяет атаке пройти без срабатывания большинства антивирусов . Вставленная команда расшифровывает ссылку, закодированную в Base64, и запускает загрузку скрипта через Pastebin — в дальнейшем активируется многоступенчатая цепочка установки вредоносного ПО.

Загружаемые вредоносные модули включают в себя удалённый троян AsyncRAT и модифицированный Stealer Skuld, специально заточенный под кражу криптовалютных активов . Все этапы заражения и эксфильтрации данных проходят исключительно через легальные облачные платформы — GitHub, Bitbucket, Pastebin и сам Discord — что позволяет вредоносному трафику не выделяться на фоне обычной активности в сети.

По данным Check Point, заражению подверглись как минимум 1 300 пользователей из разных стран, включая США, Вьетнам, Францию, Германию и Великобританию. Всё указывает на то, что атакующие ориентируются на финансовую выгоду — основными целями кампании стали владельцы криптокошельков и цифровых активов.

Используемая техника социальной инженерии , известная как ClickFix , демонстрирует высокую степень психологической проработки. Вредоносный код не требует скачивания, выглядит как рутинная инструкция и опирается на доверие пользователей к интерфейсу Discord и привычным действиям в Windows. Именно это делает схему особенно опасной и эффективной — она работает тихо, уверенно и масштабно.