Uma nova campanha de malware está explorando uma falha no sistema de convites do Discord para distribuir o trojan de acesso remoto AsyncRAT e o ladrão de informações Skuld, com foco especial em roubo de carteiras de criptomoedas. Criminosos estão se aproveitando da possibilidade de registrar links personalizados (vanity) com códigos de convite expirados ou deletados, redirecionando usuários de servidores legítimos para servidores maliciosos. Esses convites, muitas vezes compartilhados em fóruns e redes sociais, passam a apontar para ambientes controlados pelos atacantes.
Ao ingressar nesses servidores falsos, os usuários são induzidos a passar por uma etapa de “verificação” que envolve clicar em um botão e executar um comando PowerShell copiado automaticamente para a área de transferência, que inicia a infecção. Esse comando baixa um script do Pastebin que, por sua vez, instala o AsyncRAT e o Skuld Stealer. AsyncRAT permite controle remoto total do sistema infectado, enquanto o Skuld, escrito em Golang, rouba dados sensíveis de navegadores, Discord, plataformas de jogos e carteiras cripto como Exodus e Atomic.
Ele utiliza técnicas como injeção de arquivos maliciosos via GitHub e ferramentas como ChromeKatz para burlar criptografia do Chrome. A exfiltração dos dados ocorre via webhook do próprio Discord. A campanha utilizou serviços confiáveis como GitHub, Bitbucket, Pastebin e o próprio Discord para disfarçar suas atividades, dificultando a detecção. O Discord já desativou o bot malicioso envolvido no golpe. Os alvos principais estão em países como Estados Unidos, Vietnã, França, Alemanha, Eslováquia, Áustria, Países Baixos e Reino Unido. O objetivo central dos ataques parece ser o roubo de criptoativos, motivado por ganhos financeiros.
