据报道,有人滥用Discord的过期邀请链接进行网络钓鱼攻击。这些链接会将用户重定向至恶意Discord服务器,并伪装验证过程以安装恶意软件。网络安全信息网站Check Point Research等机构已对此发出警告。
Discord是一款覆盖PC、移动设备以及PS5/Xbox平台的通信工具。用户可自由创建服务器,作为与其他用户互动的场所。该工具支持文本聊天、多人语音通话及视频流功能。
在Discord中,存在邀请用户加入服务器的邀请链接系统。服务器管理员或成员可生成链接,用户点击后即可加入。链接类型包括7天后过期的“临时邀请链接”和无有效期的“永久邀请链接”,这些链接会生成随机英文字符串。此外,经Discord认证或达成合作伙伴关系的服务器,以及提升至最高级别的服务器,还能创建可自定义字符串的“自定义邀请链接”。
此次攻击以过期的“临时邀请链接”为目标。据Check Point Research称,攻击者建立恶意Discord服务器,将过期随机字符串作为“自定义邀请链接”重新利用。用户点击链接时,预期加入可信服务器,但若链接已过期,则被导向恶意服务器。即使是其他类型邀请链接,若被服务器端禁用,也可能成为钓鱼目标。
已确认的恶意服务器本身是真实Discord服务器,仅开放一个verify(验证)频道。该频道由bot发布访问其他频道的验证链接。用户点击后,bot会请求访问其信息权限;若用户批准,则被重定向至钓鱼网站。
钓鱼网站显示模仿Discord界面的验证画面,通过“ClickFix”方法诱使用户执行恶意代码。具体步骤为:Step1“Windows+R”、Step2“Ctrl+V”、Step3“Enter”,用户自行在Windows上运行恶意PowerShell脚本。随后,从Pastebin或GitHub逐步安装恶意软件,如远程访问木马AsyncRAT及窃取凭证与加密货币钱包的Skuld Stealer。据Check Point Research称,这种分阶段安装方式能规避高效防病毒软件的检测。
此次钓鱼手法的巧妙之处在于:一是重新利用原本可信的邀请链接;二是通过链接加入的恶意服务器本身真实存在。用户无法判断链接是否过期,可能误认加入目标服务器。在信任状态下,用户易被引导至钓鱼网站并执行指令。
因此,即使通过邀请链接加入服务器,也应仔细确认“是否为目标服务器”。若被导向钓鱼网站,需避免执行非常规验证操作。据Check Point Research称,Discord已禁用报告中恶意服务器的bot。然而,实际测试加入相关服务器时,仍发现新bot存在。除非解决过期链接可作为自定义链接重复使用的根本问题,否则攻击者与防御方将陷入持续博弈。各界正关注Discord的后续应对措施。
