Negli ultimi giorni, una sofisticata campagna di malware ha scosso la comunità delle criptovalute, sfruttando una vulnerabilità del sistema di inviti di Discord per colpire gli utenti. Gli attori malevoli sono riusciti a consegnare due pericolosi malware: AsyncRAT, un trojan di accesso remoto, e Skuld Stealer, un information stealer progettato specificatamente per sottrarre credenziali e seed phrase dei wallet cripto più diffusi.
Come Funziona l’Hijacking dei Link di Invito Discord
Il cuore dell’attacco risiede nella possibilità di riutilizzare link di invito Discord scaduti o cancellati, in particolare quelli personalizzati (vanity links). Gli hacker registrano un vanity link già noto e precedentemente utilizzato da server legittimi; chiunque lo clicchi, spesso dopo averlo trovato in forum o social media, viene rediretto verso un server controllato dagli attaccanti invece che all’originale. Questo avviene senza che le vittime sospettino nulla, dato che il link appare perfettamente identico a quello originario e affidabile.
La Catena di Infezione: Dal Social Engineering al Furtivo Download
Gli attacchi sfruttano una complessa catena d’infezione multi-stadio:
- Il phishing inizia con tecniche di social engineering, in cui le vittime vengono invitate a unirsi a un server Discord apparentemente legittimo.
- Tramite bot Discord e tecniche come ClickFix, viene proposto di “verificare” il proprio wallet cripto, spesso con la promessa di ricevere premi o accessi esclusivi.
- Un downloader PowerShell scarica i payload da servizi affidabili come GitHub, Bitbucket e Pastebin per eludere i controlli antivirus.
- AsyncRAT viene installato per garantire controllo remoto e persistenza.
- Skuld Stealer si installa per raccogliere credenziali dai browser, account Discord e seed, password e dati dei wallet Exodus e Atomic.
L’Obiettivo: Sottrarre Criptovalute dalle Wallet delle Vittime
Il fine ultimo della campagna è sfiltrare seed phrase e password dai wallet cripto. Ad esempio, per il wallet Exodus, Skuld Stealer inietta codice malevolo direttamente nella funzione “unlock”, intercettando l’inserimento della password e la visualizzazione delle seed phrase. I dati vengono poi inviati agli hacker attraverso webhook Discord, permettendo così il completo controllo e il furto dei fondi.
Evasione, Persistenza e Prospettive Future
A differenza di altri malware, questa campagna non ricorre a tecniche di offuscamento avanzate, ma basa la propria efficacia su evasioni semplici: esecuzioni dilazionate, task pianificati e comandi dati attraverso parametri della riga di comando. Discord ha già provveduto a disabilitare alcuni bot malevoli e a mitigare la campagna in corso, ma la falla strutturale del sistema di vanity link rimane una minaccia latente e facilmente riutilizzabile da nuovi attori malevoli.
Raccomandazioni per gli Utenti
Diffidare dai link di invito Discord condivisi su forum, social media o fonti non ufficiali. Evitare di inserire seed phrase e password di wallet in pagine o bot Discord, anche se apparentemente affidabili. Aggiornare costantemente gli antivirus e monitorare eventuali task pianificati sospetti nel sistema. Verificare l’autenticità di ogni server prima di unirsi, soprattutto se richiesto di svolgere azioni relative a wallet e criptovalute.
La campagna dimostra, ancora una volta, quanto sia importante adottare comportamenti prudenti anche su piattaforme considerate affidabili, dove il riciclo di link può trasformare la “fiducia” digitale in un grave fattore di rischio.
Potrebbe interessarti anche: FURIA e Team Spirit ai Playoff del BLAST.tv Austin Major 2025 e Samsung prende in giro Apple e le funzioni di iOS 26.
