關鍵詞

惡意軟件

近期，一個新型惡意軟件活動正通過濫用 Discord 平臺的邀請鏈接系統，悄然傳播 AsyncRAT 木馬和信息竊取工具 Skuld Stealer，目標直指用戶的加密貨幣錢包。Check Point 的技術報告指出，攻擊者通過注冊個性化鏈接（vanity link）劫持原本可信的 Discord 邀請鏈接，使用戶在毫不知情的情況下跳轉到惡意服務器，從而啟動一系列社工攻擊。

Discord 的邀請機制存在一個漏洞，即被刪除或過期的自定義鏈接在某些情況下可以被再次注冊和使用。這意味著曾在博客、社群或社交平臺廣泛傳播的可信鏈接可能在用戶點擊時已悄然變為惡意入口。攻擊者利用這一漏洞搭配 ClickFix 釣魚技巧、多階段加載器以及時間延遲躲避技術，使攻擊路徑具有高度隱蔽性。

整個攻擊流程從用戶點擊已被劫持的鏈接開始，一旦進入偽裝成真實社區的 Discord 服務器，用戶會被要求執行“身份驗證”操作。所謂驗證，實則是一段 PowerShell 命令被自動復制至剪貼板，用戶再被引導粘貼該命令至系統運行窗口中，觸發遠程惡意腳本的下載與執行。該腳本首先加載一個下載器，然后依次投遞 AsyncRAT 和 Skuld Stealer。

這場攻擊展示了攻擊者對多階段感染流程的高度操控能力。AsyncRAT 擁有對受害機器的完全遠程控制能力，其通信服務器地址通過 Pastebin 上的“死投遞點”（Dead Drop Resolver）動態獲取，躲避安全檢測。而 Skuld Stealer 是用 Golang 編寫的信息竊取器，可從 Discord、主流瀏覽器、游戲平臺乃至加密錢包中提取敏感數據，包括 Exodus 和 Atomic 錢包中的助記詞和密碼。其實現方式為“錢包注入”，即下載惡意版本替換合法文件，使惡意功能在原應用啟動時隱匿執行。

攻擊者還使用經過改造的 ChromeKatz 工具繞過 Chrome 瀏覽器的加密保護，所收集的數據則通過 Discord webhook 渠道回傳，使得數據竊取流程進一步偽裝成常規流量。在攻擊過程中，攻擊者廣泛利用 GitHub、Bitbucket、Pastebin 等可信平臺托管和傳輸惡意載荷，使其更難被傳統防御手段發現。

Check Point 指出，該攻擊鏈還通過偽裝成破解工具的惡意程序在 Bitbucket 平臺傳播，已有超過 350 次下載記錄。受害者主要分布在美國、越南、法國、德國、斯洛伐克、奧地利、荷蘭和英國等國家。

這場攻擊再次表明 Discord 正逐漸成為攻擊者偏愛的目標平臺，不僅其 CDN 曾被用來托管惡意軟件，如今其邀請系統漏洞也成為攻擊入口。攻擊者通過精準操控 Discord 的鏈接機制和用戶行為，引導用戶自行執行攻擊命令，再配合多階段遠程載荷投遞，完成對加密資產的竊取。

研究人員總結稱，這一攻擊的本質在于：看似微小的 Discord 邀請機制特性在未被修補的前提下，可能演變為嚴重的安全隱患。通過劫持被信任的邀請鏈接，攻擊者不僅能夠繞過用戶的警惕心理，更能借助平臺信譽對目標用戶實施高效誘導。攻擊載荷的選型表明，攻擊者以加密貨幣用戶為主要目標，其動機顯然是經濟利益驅動。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！