Des acteurs malveillants ont exploité le système d’invitation de Discord pour lancer des attaques globales en plusieurs étapes.

• Des attaquants ont tiré parti d’une fonctionnalité de Discord qui permet de réutiliser des liens d’invitation expirés ou supprimés, leur permettant ainsi de détourner des liens de communautés de confiance et de rediriger les utilisateurs vers des serveurs malveillants.
• L’attaque abuse d’un faux bot de vérification et d’un site de phishing ressemblant à un serveur Discord légitime, amenant les victimes à exécuter involontairement des commandes nuisibles téléchargeant des logiciels malveillants sur leur ordinateur.
• Le malware se propage discrètement en plusieurs étapes, en utilisant des services populaires et de confiance comme GitHub et Pastebin pour dissimuler son activité et échapper à la détection.
• Les attaquants visent principalement les utilisateurs de cryptomonnaies dans le but de voler des identifiants et des informations de portefeuille. Plus de 1 300 téléchargements ont été recensés, avec des victimes dans plusieurs pays, dont les États-Unis, le Vietnam, la France, l’Allemagne, le Royaume-Uni, entre autres, soulignant l’ampleur mondiale et les motivations financières de cette campagne.

Dans une étude, Check Point Research (CPR) a découvert une faille dans le système d’invitation de Discord permettant à des attaquants de détourner des liens d’invitation expirés ou supprimés et de rediriger subrepticement des utilisateurs vers des serveurs malveillants. Des liens d’invitation partagés des mois auparavant par des communautés de confiance sur des forums, réseaux sociaux ou sites officiels peuvent désormais conduire discrètement les utilisateurs entre les mains de cybercriminels.

CPR a observé des attaques réelles où les acteurs de la menace ont utilisé ces liens détournés pour déployer des campagnes de phishing sophistiquées et des logiciels malveillants, incluant des infections en plusieurs étapes échappant aux antivirus et aux sandbox, menant finalement à des malwares tels que AsyncRAT et Skuld Stealer.

Le risque caché des liens d’invitation Discord

Discord propose plusieurs types de liens d’invitation : temporaires, permanents et personnalisés (vanity links). Les liens temporaires expirent après un certain délai, les permanents n’expirent jamais, tandis que les liens personnalisés sont des URL sur mesure disponibles uniquement pour les serveurs bénéficiant du niveau 3 de boost. Cette enquête a révélé que des attaquants peuvent exploiter la gestion des codes d’invitation expirés ou supprimés par Discord — en particulier les liens personnalisés. Lorsqu’un lien personnalisé expire ou qu’un serveur perd son statut boosté, le code d’invitation peut redevenir disponible. Les attaquants peuvent alors revendiquer ce même code et rediriger les utilisateurs vers un serveur malveillant.

Souvent, les utilisateurs rencontrent ces liens via des sources anciennes mais réputées fiables, sans se douter du danger. Pire encore, l’application Discord donne parfois à tort l’impression que les liens temporaires sont devenus permanents, ce qui accroît le nombre de codes détournables.

Des liens de confiance vers des serveurs malveillants

Une fois le lien détourné, les attaquants redirigent les utilisateurs vers des serveurs malveillants qui imitent ceux de Discord. Généralement, seuls quelques salons sont accessibles, notamment un nommé « verify ». Là, un faux bot nommé « Safeguard » invite les utilisateurs à effectuer une étape de vérification.

Cliquer sur « verify » déclenche un flux OAuth2 et redirige vers un site de phishing imitant fidèlement Discord. Ce site précharge une commande PowerShell malveillante dans le presse-papiers et guide l’utilisateur à travers une fausse procédure de vérification. Cette technique, appelée « ClickFix », pousse l’utilisateur à exécuter la commande via la boîte de dialogue « Exécuter » de Windows. Une fois exécuté, le script PowerShell télécharge d’autres composants depuis Pastebin et GitHub, lançant ainsi une chaîne d’infection en plusieurs étapes. Le système est finalement infecté par des charges utiles telles que AsyncRAT (permettant un contrôle à distance) et Skuld Stealer (qui cible les identifiants de navigateur et les portefeuilles de cryptomonnaies).

Une campagne en expansion et en évolution

Cette campagne est en constante évolution. Les attaquants mettent régulièrement à jour leur téléchargeur pour conserver un taux de détection nul sur VirusTotal. Une campagne parallèle a été identifiée par les experts de Check Point, ciblant les joueurs, avec un chargeur initial intégré dans un outil de triche piégé pour The Sims 4, preuve de l’adaptabilité des attaquants selon les groupes d’utilisateurs visés.

Portée et impact

Il est difficile d’estimer précisément le nombre de victimes, en raison de l’exfiltration furtive des données via des webhooks Discord. Toutefois, les statistiques de téléchargement des dépôts utilisés indiquent plus de 1 300 téléchargements, avec des victimes réparties dans le monde entier, notamment aux États-Unis, au Vietnam, en France, en Allemagne, au Royaume-Uni, et ailleurs.

L’accent mis sur le vol d’identifiants et de données de portefeuilles crypto démontre clairement la motivation financière derrière cette attaque.

Une plateforme de confiance transformée en vecteur d’attaque

Cette campagne montre comment une fonctionnalité apparemment anodine du système d’invitation de Discord peut être détournée. En prenant le contrôle de liens de confiance, les attaquants ont conçu une chaîne d’attaque efficace alliant ingénierie sociale et utilisation abusive de services légitimes tels que GitHub, Bitbucket et Pastebin. Plutôt que de recourir à une forte obfuscation, les acteurs malveillants ont privilégié des techniques plus simples et furtives comme l’exécution basée sur le comportement, les tâches planifiées et le déchiffrement différé des charges utiles. Cette campagne souligne la sophistication croissante des attaques d’ingénierie sociale qui exploitent la confiance des utilisateurs. En s’appuyant sur des services légitimes et des manipulations comportementales simples, les attaquants montrent à quel point des plateformes populaires peuvent être manipulées lorsque des fonctionnalités de base — comme la gestion des liens d’invitation — sont insuffisamment sécurisées.

Discord a depuis désactivé le bot malveillant utilisé dans cette campagne, mais les tactiques fondamentales restent viables. Les attaquants peuvent facilement enregistrer de nouveaux bots ou changer de vecteur tout en continuant d’exploiter le système d’invitation.

Comment se protéger

• Vérifier les liens d’invitation : Inspecter toujours les URL d’invitation Discord avant de cliquer. Si le lien provient d’une source ancienne (forum, tweet), vérifie d’abord sa légitimité.
• Préférer les liens permanents : Créer des liens d’invitation permanents et éviter de publier des liens temporaires publiquement.
• Vérifier le badge « Verified App » avant d’autoriser un bot : Ne pas interagir qu’avec des bots affichant le badge officiel de Discord. Les bots non vérifiés peuvent être malveillants.
• Ne pas exécuter de commandes inconnues : Aucun serveur Discord légitime ne demande d’exécuter une commande PowerShell ou de coller quoi que ce soit dans un terminal système.
• Adopter une défense en profondeur : Les organisations doivent combiner formation à la sécurité, protection des terminaux, détection de phishing et outils de sécurité du navigateur.
• Utiliser une protection proactive : un produit qui assure une prévention en temps réel contre les malwares avancés, le phishing et les menaces liées aux fichiers.