Códigos de convite reaproveitados como links personalizados levam usuários a servidores falsos, páginas ClickFix e execução de PowerShell para instalar AsyncRAT e Skuld Stealer.
| Componente | Sistema de convites do Discord, incluindo convites temporários, convites permanentes e links personalizados disponíveis para servidores com Level 3 Boost. |
| Vetor | Códigos de convites expirados ou excluídos podem ser registrados como links personalizados por outro servidor impulsionado, levando usuários de links antigos a servidores maliciosos com verificação falsa. |
| Impacto | Usuários redirecionados para servidores falsos são conduzidos por um fluxo OAuth2 e por uma página ClickFix que copia um comando PowerShell para a área de transferência, iniciando uma cadeia que baixa installer.exe do GitHub e payloads posteriores do Bitbucket. |
| Prioridade | Auditar convites públicos do Discord, substituir links temporários por convites permanentes adequados, remover links antigos de sites e canais oficiais e monitorar execução de PowerShell iniciada por instruções manuais de verificação. |
| Artefatos | Bot Safeguard#0786, canal verify, domínio captchaguard[.]me, parâmetro key com dados em Base64, Pastebin, GitHub, Bitbucket, installer.exe, AsyncRAT e Skuld Stealer. |
| Mitigação | Preferir convites permanentes, revisar links publicados em fóruns, sites, redes sociais e canais comunitários, e tratar páginas que instruem Win + R, colagem e Enter como tentativa de execução socialmente induzida. |
A campanha combina uma fraqueza operacional no ciclo de vida de convites do Discord com engenharia social e entrega de malware em estágios. O ponto inicial não é o envio direto de um anexo nem um domínio recém-criado distribuído por spam: o usuário acessa um link de convite que já havia sido publicado por uma comunidade legítima em sites, fóruns, redes sociais ou canais de comunicação. Quando esse código deixa de apontar para o servidor original, por expiração, exclusão ou perda de condição para manter um link personalizado, ele pode passar a resolver para um servidor controlado por atacantes. Esse reaproveitamento preserva parte da confiança acumulada pelo link antigo e reduz a percepção de risco no momento em que a vítima entra no servidor falso.
O abuso observado envolve convites temporários gerados pelo cliente ou pela API do Discord e links personalizados reservados a servidores com Level 3 Boost. Convites temporários podem expirar após janelas como 30 minutos, 1 hora, 6 horas, 12 horas, 1 dia ou 7 dias, enquanto convites permanentes usam códigos alfanuméricos maiores quando criados explicitamente como sem expiração. A condição problemática surge quando códigos temporários expirados, e em casos específicos códigos permanentes excluídos compostos apenas por letras minúsculas e dígitos, tornam-se aproveitáveis como link personalizado por outro servidor. O resultado prático é um desvio silencioso: o link antigo continua visualmente familiar, mas o destino passa a ser um ambiente de phishing preparado para iniciar a execução de malware.
Depois do redirecionamento ao servidor malicioso, a vítima encontra canais bloqueados e um único canal de verificação, normalmente chamado verify. Um bot identificado como Safeguard#0786 conduz o usuário a um fluxo de autorização e o redireciona para captchaguard[.]me. A página externa imita elementos visuais do Discord e usa uma técnica ClickFix: apresenta uma falha falsa de CAPTCHA e instrui o usuário a abrir o diálogo Executar do Windows com Win + R, colar o conteúdo já copiado para a área de transferência e pressionar Enter. Essa ação executa um comando PowerShell que baixa um script do Pastebin, obtém installer.exe do GitHub e inicia carregadores adicionais a partir do Bitbucket, culminando na instalação de AsyncRAT e Skuld Stealer.
O fluxo começa com a publicação legítima de um convite do Discord. Quando administradores criam convites pelo cliente, o comportamento padrão favorece links temporários, e a opção visual de marcar um link como sem expiração pode induzir erro se aplicada sobre um convite já gerado. O usuário pode interpretar que o código existente foi convertido em permanente, embora o código continue tendo características de convite temporário. Após a expiração, o código deixa de ser associado ao servidor original. Em paralelo, um atacante que possua ou controle um servidor com capacidade de link personalizado pode registrar o mesmo código, ou uma variante em minúsculas quando o convite original continha letras maiúsculas, como destino do servidor fraudulento.
Há diferenças relevantes entre os tipos de código. Links personalizados aceitam letras minúsculas, números e hífens, com normalização para minúsculas. Códigos temporários gerados aleatoriamente podem ter letras maiúsculas, letras minúsculas e números. Em um cenário descrito, se um convite temporário usa uma combinação com letras maiúsculas, o atacante pode registrar a versão minúscula como link personalizado. Enquanto o convite original estiver válido, o usuário ainda chega ao servidor correto; quando a validade termina, a resolução passa a favorecer o link personalizado controlado pelo atacante. Se o convite com letras maiúsculas for excluído antes do fim da validade programada, a reserva persiste até a expiração prevista, o que retarda o desvio, mas não elimina o risco posterior.
No servidor falso, a etapa de verificação cria a transição entre abuso de confiança e execução local. O bot solicita autorização e aciona OAuth2 do Discord. Um código de uso único é enviado para uma URL no formato de passagem OAuth, e o site externo usa esse fluxo para obter dados como nome de usuário e nome do servidor. Em seguida, a vítima é enviada para uma URL com o parâmetro key, contendo dados em Base64 relacionados ao usuário, ao servidor e a identificadores de ícone. A página exibida não depende de validação real desse parâmetro para prosseguir, o que reforça que o objetivo central não é autenticação, mas criar uma narrativa convincente de verificação.
A etapa ClickFix remove a necessidade de entregar um executável por download manual. O JavaScript da página copia um comando PowerShell para a área de transferência e apresenta instruções visuais para que o próprio usuário execute o conteúdo no Windows. Esse detalhe muda o controle de segurança esperado: filtros de navegador, bloqueios contra anexos e suspeita de downloads explícitos podem não ser acionados da mesma maneira, porque a ação final ocorre via prompt de execução do sistema. Depois que o PowerShell roda, a cadeia baixa um script hospedado no Pastebin, executa installer.exe obtido do GitHub e continua com carregadores e payloads buscados no Bitbucket. Os payloads citados incluem Skuld Stealer, voltado a carteiras de criptomoedas, e AsyncRAT, capaz de conceder controle remoto do sistema comprometido.
A exposição principal recai sobre comunidades que publicaram convites do Discord em locais duráveis: páginas oficiais, documentação pública, postagens antigas em redes sociais, fóruns, canais do Telegram e materiais de suporte. O risco aumenta quando o convite foi criado como temporário por padrão, quando administradores acreditaram que a marcação posterior de sem expiração alterou o código já existente, ou quando um servidor com link personalizado perdeu a condição de Level 3 Boost. Nesses casos, a reputação do canal original passa a funcionar contra a própria comunidade, porque o usuário encontra o link no local esperado e não em uma mensagem claramente suspeita.
Também há uma superfície de identidade. O fluxo de autorização do bot coleta informações de perfil expostas pelo processo OAuth2, como nome de usuário, avatar e banner, além de dados associados ao servidor. Embora esses dados não sejam o payload final, eles ajudam a personalizar a experiência de phishing e podem aumentar a confiança da vítima no processo falso. Em endpoints Windows, a exposição se concentra na execução interativa de PowerShell por meio do diálogo Executar, na conexão a Pastebin para obter script, no download de installer.exe a partir do GitHub e na comunicação subsequente com Bitbucket para buscar etapas adicionais.
Sistemas de segurança que dependem apenas de reputação de domínio enfrentam uma dificuldade adicional, porque a cadeia usa serviços públicos amplamente legítimos em diferentes pontos. Discord, Pastebin, GitHub e Bitbucket aparecem como infraestrutura intermediária, mas a presença desses serviços por si só não confirma atividade maliciosa. O valor defensivo está na correlação: convite antigo redirecionando para servidor desconhecido, autorização de bot de verificação, navegação para captchaguard[.]me, cópia automática para área de transferência, execução de PowerShell e obtenção de artefatos executáveis em sequência.
- Servidores do Discord que publicaram convites temporários em páginas, fóruns, redes sociais, canais comunitários ou documentação externa.
- Convites personalizados de servidores que perderam
Level 3 Booste deixaram o código disponível para reutilização por outro servidor. - Endpoints Windows em que usuários executam comandos via
Win + Rapós instruções de uma página falsa de verificação. - Ambientes que permitem PowerShell interativo alcançar Pastebin, GitHub e Bitbucket sem inspeção comportamental ou correlação com origem de navegação.
A investigação deve começar pelos ativos públicos da organização ou comunidade. Defensores precisam mapear todos os links discord.gg publicados fora do próprio Discord e verificar se cada um ainda resolve para o servidor esperado. Links antigos encontrados em páginas de suporte, perfis sociais, repositórios, fóruns, mensagens fixadas e canais de terceiros devem ser tratados como superfície de ataque. Quando um convite não for necessário, a remoção pública deve ser acompanhada de substituição por um convite permanente controlado e validado, não apenas de exclusão dentro do Discord.
No endpoint, a sequência mais útil para hunting envolve navegador, área de transferência, PowerShell e download de binários. A técnica ClickFix depende de interação manual, então eventos de execução de powershell.exe logo após navegação para uma página de verificação ou após acesso ao domínio captchaguard[.]me merecem análise. Também é relevante observar processos filhos iniciados a partir de shells interativos, chamadas de PowerShell que buscam conteúdo remoto do Pastebin e criação ou execução de installer.exe. A correlação com tráfego para GitHub e Bitbucket, quando antecedida por um fluxo de verificação do Discord, ajuda a separar uso legítimo de desenvolvimento de cadeia de infecção.
Na camada de identidade e aplicação, logs de OAuth2 e autorização de bots podem apontar vítimas que interagiram com a verificação falsa. A presença de um bot chamado Safeguard#0786, especialmente em servidores recém-acessados por links antigos, é um sinal concreto dentro do caso descrito. Canais com a maior parte das permissões bloqueadas e apenas verify disponível também são um padrão operacional da campanha. Em rede, não basta bloquear genericamente serviços públicos; o foco deve ser detecção por encadeamento, inspeção de scripts baixados, reputação de caminhos específicos e análise do comportamento posterior do processo.
- Acesso a
captchaguard[.]meapós clique em convitediscord.ggpublicado em página ou canal antigo. - Execução de
powershell.exeiniciada por ação interativa do usuário e seguida por busca de conteúdo no Pastebin. - Download ou execução de arquivo chamado
installer.exea partir do GitHub após fluxo de verificação do Discord. - Conexões subsequentes para Bitbucket associadas a carregadores ou payloads após execução de PowerShell.
- Autorização de bot
Safeguard#0786ou entrada em servidor com canalverifycomo único canal acessível.
A mitigação deve separar correção de exposição pública, contenção de endpoint e redução de risco humano. Administradores de comunidades precisam inventariar convites publicados fora do Discord e substituir links temporários por convites permanentes criados corretamente. A validação deve incluir teste do destino real em sessão limpa e confirmação de que o convite leva ao servidor esperado. Links antigos em sites, fóruns, páginas de documentação, perfis sociais e mensagens fixadas devem ser removidos ou atualizados. Para servidores que dependem de link personalizado, a continuidade do Level 3 Boost precisa ser monitorada, porque a perda dessa condição pode liberar o código para reutilização.
Em ambientes corporativos, a resposta deve priorizar usuários que acessaram convites do Discord relacionados ao incidente e executaram PowerShell em seguida. Máquinas com evidência de busca em Pastebin, download de installer.exe, conexões a GitHub e Bitbucket no encadeamento descrito, ou indicadores de AsyncRAT e Skuld Stealer devem ser isoladas para análise. Como Skuld Stealer mira carteiras de criptomoedas e AsyncRAT permite controle remoto, a contenção deve incluir revisão de credenciais locais, sessões de navegador, carteiras, tokens acessíveis ao usuário e persistência criada após a execução inicial.
Controles preventivos devem bloquear ou alertar sobre páginas que copiam comandos para a área de transferência e instruem execução via Win + R. Em estáções Windows, regras de detecção para PowerShell com download remoto, execução de scripts em memória e criação de executáveis obtidos de serviços públicos ajudam a reduzir o tempo de permanência. No Discord, instruções de verificação que exigem comandos locais devem ser tratadas como maliciosas por padrão. Usuários e moderadores devem ser orientados a verificar o destino de convites antigos e a rejeitar processos de autenticação que migram para páginas externas e pedem execução manual no sistema operacional.
- Inventariar e testar todos os links
discord.ggpublicados fora do Discord, removendo convites expirados, temporários ou sem proprietário claro. - Criar novos convites permanentes de forma explícita e substituir referências antigas em sites, fóruns, redes sociais, documentação e canais comunitários.
- Monitorar execução de PowerShell com download de conteúdo remoto após navegação para páginas de verificação ligadas ao Discord.
- Isolar endpoints com evidência de
installer.exe, conexões a Pastebin, GitHub e Bitbucket no fluxo descrito, ou sinais deAsyncRATeSkuld Stealer. - Alertar usuários de que verificações legítimas não devem exigir
Win + R, colagem de comandos nem execução manual de PowerShell.
0 Comentários