Discord Malware

Cyberkriminelle können mittels eines Fehlers im System gelöschte oder abgelaufene Einladungslinks per Hijacking für ihre Zwecke nutzen. Auf diese Weise können sie Nutzer geschickt und heimlich auf ihre schädlichen Server umleiten. Dabei handelte es sich um Einladungs-Links, die von vertrauenswürdigen Nutzern, wie legitimen Communities der Plattform, bereits vor Monaten in Internet-Foren, auf Social-Media-Plattformen oder auf offiziellen Websites veröffentlicht wurden.

Am Ende der Umleitung durch die Hacker stehen ausgeklügelte Phishing-Angriffe und Malware-Kampagnen, wie die Sicherheitsforscher herausfinden konnten. Dies beinhaltet mehrstufige Infektionen, die einer Erkennung durch Anti-Viren-Software entgehen kann und Sandboxes erkennt, um ungehindert Malware wie AsyncRAT und Skuld Stealer auf den Rechnern der Opfer zu installieren.

Zu den Discord-Links muss man wissen: Es gibt temporäre, permanente und individuelle (vanity genannt). Die temporären Links laufen nach einer bestimmten Zeit ab, die permanenten niemals und die individuellen sind benutzerdefinierte URLs, die nur Servern mit Premium-Status (Level 3 Boost) zur Verfügung stehen. Die Sicherheitsforschung von Check Point ergab, dass Hacker die Handhabung von Discord der abgelaufenen oder gelöschten Links missbrauchen können – insbesondere bezogen auf die individuellen Links.

Das Problem hierbei: Obwohl ein individueller Link abläuft, oder der ausgebende Server den Premium-Status verliert, kann der Einladungs-Code wieder aktiviert werden. Diesen Umstand nutzen die Cyber-Kriminellen aus: Sie können den reaktivierten Code für sich nutzen und die Discord-Nutzer auf ihre Server umleiten. In vielen Fällen stießen die Nutzer auf solche Codes bei alten und verlässlichen Discord-Quellen und hatten somit keinen Grund für ein Misstrauen. Was die Sache noch verschlimmert: Die Discord App vermittelt den Nutzern manchmal den falschen Eindruck, dass temporäre Links dauerhaft gespeichert worden wären, was zu der Ansammlung von Codes beiträgt, die von Hackern missbraucht werden können.

Wenn ein solcher Einladungs-Link von den Hackern umgebaut wird, dann leitet er die Nutzer auf einen schädlichen Server um, die echte Discord-Server und ihre Oberflächen täuschend echt nachbilden. Außerdem sind für Neuankömmlinge bei Discord-Servern meist viele Kanäle gesperrt, bis auf einen, der sich „Verify“ nennt, und das neue Konto verifizieren soll – so auch auf dem Hacker-Server. Ein falscher Chat-Bot namens „Safeguard“ fordert die Nutzer auf, die übliche Verifikation durchzuführen.

Klickt der Nutzer nun auf „Verify“ wird ein OAuth2-Prozess in Gang gesetzt und leitet den Nutzer auf eine Phishing-Seite um, die Discord äußerst ähnlichsieht. Diese Website lädt vorab eine schädliche PowerShell-Befehlsstruktur in die Oberfläche und leitet den Nutzer nun durch einen gefälschten Prozess zur vermeintlichen Verifizierung. Diese Technik, die als ClickFix bekannt ist, verleitet den Nutzer trickreich dazu, den PowerShell-Befehl über den Windows-Ausführen-Dialog ausführen zu lassen. Tut er das, veranlasst das PowerShell-Script das Herunterladen zusätzlicher Komponenten von Pastebin und Github und startet somit eine mehrstufige Infektion des Zielrechners. Am Ende wird der Computer mit Payloads infiziert, darunter Remote Access Trojans (RAT), wie AsyncRAT, die den Hackern einen Fernzugriff gewähren, sowie der Skuld Stealer, welcher es auf Zugangsdaten von Browsern und Krypto-Wallets abgesehen hat.

Was die Sicherheitsforscher zu bedenken geben: Die Kampagne ist nicht statisch angelegt worden. Sie konnten beobachten, dass die Cyber-Kriminellen regelmäßig ihren Downloader aktualisieren, um eine Zero-Detection-Bewertung bei der Viren-Datenbank VirusTotal aufrecht zu erhalten. Zudem haben sie eine gleichzeitig laufende, gleiche Kampagne gefunden, die gezielt Videospieler anspricht. Dort wurde der erste Downloader in ein mit Trojanern verseuchtes Cheat-Tool für das Videospiel The Sims 4 gepackt. Die Hacker sind also flexibel genug unterwegs, um verschiedene Gruppen ins Visier zu nehmen.

Die Sicherheitsforscher betonen, dass die Schätzung einer Opferzahl sehr schwer ist, da eben die Discord Webhooks heimlich für den Datendiebstahl benutzt werden. Anhand der Download-Zahlen aus den Repositories, die für diese Malware-Kampagne genutzt werden, lassen sich aber über 1300 Downloads ablesen. Diese verteilen sich über die ganze Welt, darunter auch Deutschland, Frankreich, Großbritannien und die USA. Da der Fokus auf dem Diebstahl von Zugangsdaten, vor allem von Krypto-Geldbörsen, liegt, gehen die Sicherheitsforscher von einer eindeutig finanziellen Motivation der Angreifer aus.

Diese Hacker-Attacke unterstreicht, wie ein kleines Untersystem einer vertrauenswürdigen Plattform, wie Discord und die zugehörigen Einladungs-Links, missbraucht werden können. Durch das Hijacking vertrauenswürdiger Links schufen die Angreifer eine effektive Angriffskette, die Social Engineering mit dem Missbrauch legitimer Dienste, wie GitHub, Bitbucket und Pastebin, kombinierte.

Anstatt auf aufwendige Verschleierungstechniken zu setzen, nutzten die Angreifer einfachere, heimlichere Methoden, wie verhaltensbasierte Ausführung, geplante Aufgaben und verzögerte Entschlüsselung der Payload. Diese Kampagne verdeutlicht somit die zunehmende Raffinesse von Social-Engineering-Angriffen, die das Vertrauen der Benutzer in Dienste missbrauchen. Dies zeigt, wie leicht beliebte Plattformen manipuliert werden können, wenn grundlegende Funktionen – wie die schlichte Verarbeitung von Einladungs-Links – ungesichert bleiben.

Discord hat bereits den schädlichen Bot, der in dieser Kampagne benutzt wurde, stillgelegt, aber die zentrale Taktik bleibt anwendbar. Hacker können einfach neue Bots registrieren oder neue Angriffswege gehen, während sie damit fortfahren, das Einladungs-System zu missbrauchen.

Nutzer von Discord können folgende Tipps beherzigen, um sich zu schützen:

Einladungs-Links lieber doppelt prüfen: Immer die URL vor dem Klick auf Ungereimtheiten untersuchen und auch dann, wenn der Link aus einer alten, vertrauenswürdigen Quelle stammt (wie ein Forum-Post oder ein Tweet) die Legitimität dieser Quelle prüfen.

Permanente Einladungs-Links bevorzugen: Betreibt man einen eigenen Discord-Server, sollten dauerhafte Links, die niemals erlöschen, ausgegeben werden. Temporäre sollte man zudem niemals veröffentlichen.

Auf das Siegel „Verifizierte App“ achten, bevor man Bots nutzt: Legitime Bots tragen das offizielle Discord-Siegel „Verifizierte App“. Viele falsche Bots tragen es nicht.

Niemals unbekannte Befehlszeilen ausführen lassen: Kein echter Discord-Server oder -Prozess sollte den Nutzer auffordern, einen PowerShell-Befehl ausführen zu lassen oder andere Codes in das Kommando-Fenster des Computers zu kopieren. Sollte man dazu aufgefordert werden, immer die Legitimität der Aufforderung prüfen.

Mehrschichtige Abwehr und vorrausschauenden Schutz einführen: Unternehmen sollten Security Awareness Training mit Endpunkt-Schutz, Phishing-Erkennung und Browser-Sicherheitslösungen kombinieren, die präventiv gegen Cyber-Bedrohungen vorgehen.

Cybercriminals can exploit a flaw in the system to hijack deleted or expired invitation links for their own purposes. This allows them to secretly and cleverly redirect users to their malicious servers. These links were published months ago by trusted users, such as legitimate communities on the platform, internet forums, social media, or official websites.

Security researchers discovered that at the end of the redirection by the hackers are sophisticated phishing attacks and malware campaigns. These attacks can evade detection by antivirus software and sandboxes, allowing malware such as AsyncRAT and Skuld Stealer to be installed on victims‘ computers unhindered.

It is important to know that there are three types of Discord links: temporary, permanent, and individual (also called vanity). Temporary links expire after a certain period of time; permanent links never expire; and custom links are user-defined URLs available only to servers with premium status (Level 3 Boost). Check Point’s security researchers found that hackers can exploit Discord’s handling of expired or deleted links, especially custom links.

The problem is that, even if an individual link expires or the issuing server loses its premium status, the invitation code can be reactivated. Cybercriminals exploit this fact by using the reactivated code themselves and redirecting Discord users to their servers. Often, users encounter such codes from old, reliable Discord sources and therefore have no reason to be suspicious. Matters are made worse by the fact that the Discord app sometimes gives users the false impression that temporary links have been permanently stored. This contributes to the accumulation of codes that can be misused by hackers.

When hackers modify such an invitation link, it redirects users to a malicious server that deceptively replicates real Discord servers and their interfaces. Additionally, many channels are usually blocked for newcomers to Discord servers, except for one called „Verify,“ which is supposed to verify the new account — as is the case on the hacker server. A fake chatbot called „Safeguard“ prompts users to perform the usual verification process.

If the user clicks „Verify,“ an OAuth2 process is initiated that redirects the user to a phishing site resembling Discord. The website preloads a malicious PowerShell command structure into the interface and guides the user through a fake verification process. This technique, known as ClickFix, tricks the user into executing the PowerShell command via the Windows Run dialog box. If the user does so, the PowerShell script downloads additional components from Pastebin and GitHub, thus initiating a multi-stage infection of the target computer. Ultimately, the computer becomes infected with payloads, including remote access Trojans (RATs), such as AsyncRAT, which grant hackers remote access, and Skuld Stealer, which targets browser and crypto wallet credentials.

Security researchers point out: The campaign is not static. They have observed that cybercriminals regularly update their downloader to maintain a zero-detection rating on VirusTotal’s virus database. They also discovered an identical, simultaneous campaign targeting video gamers. In that campaign, the first downloader was packed into a cheat tool for The Sims 4 that was infected with Trojans. Therefore, the hackers are flexible enough to target different groups.

Security researchers emphasize that it is very difficult to estimate the number of victims because Discord webhooks are used secretly for data theft. However, based on download figures from the repositories used for this malware campaign, there have been over 1,300 downloads. These downloads are spread across the globe, including in Germany, France, the UK, and the US. Since the attackers are focused on stealing access data, especially from crypto wallets, security researchers assume they have a clear financial motive.

This attack highlights how a small subsystem of a trusted platform, such as Discord and its associated invitation links, can be exploited. By hijacking trusted links, the attackers created an effective attack chain combining social engineering and the misuse of legitimate services, such as GitHub, Bitbucket, and Pastebin.

Rather than relying on complex obfuscation techniques, the attackers employed simpler, more covert methods, including behavior-based execution, scheduled tasks, and delayed payload decryption. This campaign highlights the growing sophistication of social engineering attacks that exploit users‘ trust in services. It demonstrates how easily popular platforms can be exploited when fundamental functions, such as processing invitation links, remain unsecured.

Although Discord has shut down the malicious bot used in this campaign, the central tactic remains applicable. Hackers can register new bots or pursue new avenues of attack while continuing to abuse the invitation system.

Discord users can follow these tips to protect themselves:

Double-check invitation links. Always examine the URL for inconsistencies before clicking on it. Even if the link comes from a trusted source, such as a forum post or tweet, verify its legitimacy.

Use permanent invitation links. If you have your own Discord server, issue permanent links that never expire. Never publish temporary links.

Look for the „Verified App“ seal before using bots. Legitimate bots carry the official Discord „Verified App“ seal. Many fake bots do not have this seal.

Never execute unknown command lines. Genuine Discord servers and processes should never ask users to execute a PowerShell command or copy code into a computer’s command window. If you are asked to do so, always verify the request’s legitimacy.

Implement multi-layered defense and proactive protection. Companies should combine security awareness training with endpoint protection, phishing detection, and browser security solutions that prevent cyber threats.