- Delincuentes secuestran invitaciones caducadas para redirigir a servidores maliciosos.
- Usan ClickFix: copian un comando de PowerShell al portapapeles para que la víctima lo ejecute.
- Instalan AsyncRAT para control remoto y Skuld Stealer para robar credenciales y cripto.
- Medidas: no ejecutar código en Ejecutar, reforzar seguridad de Discord y usar antivirus.
Atacantes están reutilizando enlaces de invitación caducados o borrados de Discord para desviar a los usuarios a servidores fraudulentos donde se distribuyen dos familias de malware, AsyncRAT y Skuld Stealer, explotando un comportamiento del sistema de invitaciones de la plataforma.
La operación combina redirecciones sigilosas, bots de verificación y la técnica social ClickFix, que convence a las víctimas para ejecutar un comando de PowerShell copiado al portapapeles, eludiendo controles y dejando el equipo expuesto.
Cómo funciona el sistema de invitaciones de Discord
Discord ofrece dos formatos de URL para invitar a un servidor: discord.gg/{código} y discord.com/invite/{código}. Esta duplicidad, con un dominio corto tipo “meme”, puede inducir a confusión y abre la puerta a abusos cuando los enlaces dejan de ser válidos.
Existen tres tipos de invitaciones: temporales, permanentes y personalizadas (vanity). Las temporales son el modo por defecto y caducan tras 30 minutos, 1, 6 o 12 horas, 1 día o 7 días; mediante API se puede fijar una validez personalizada de hasta 7 días. Sus códigos suelen tener 7 u 8 caracteres alfanuméricos.
Si el administrador selecciona “Nunca” al crearla, la invitación pasa a ser permanente y su código suele ser de 10 caracteres. Por su parte, las invitaciones de vanidad solo están disponibles en servidores de nivel 3 (requieren 14 mejoras), permiten definir un identificador único de 2 a 32 caracteres con minúsculas, números y guiones, y no caducan mientras se mantengan esas ventajas.
Cuando un servidor pierde el nivel 3, su URL de vanidad puede ser reclamado por otro, lo que sienta la base para que terceros reutilicen identificadores ya conocidos por la comunidad.
Cómo secuestran códigos caducados y eliminados
Los delincuentes rastrean códigos legítimos a punto de caducar y, en cuanto quedan libres, los registran como enlaces personalizados en sus propios servidores con ventajas de nivel 3, de modo que heredan la visibilidad del enlace original.
Con este enfoque pueden reaprovechar invitaciones temporales ya vencidas (la plataforma redirige de forma automática aunque cambie el uso de mayúsculas y minúsculas), enlaces permanentes eliminados cuyo código solo contenga minúsculas y números, e incluso URLs de vanidad de servidores que han perdido sus mejoras.
El resultado es que publicaciones antiguas en sitios legítimos, redes sociales o foros pasan a apuntar a servidores maliciosos en Discord sin que los responsables originales se percaten, dificultando que puedan advertir o retirar esos mensajes a tiempo.
Del enlace al engaño: así operan con ClickFix
Quien accede a uno de estos servidores suele ver solo un canal ‘verify’ y un bot de validación (por ejemplo, etiquetado como Safeguard) que solicita pulsar ‘Verificar’ y autorizar permisos básicos de perfil.
Tras la autorización, el usuario es dirigido a un sitio externo que imita la interfaz de Discord y muestra un gran botón de ‘Verificar’; la ruta incluye dominios engañosos como captchaguardme antes de llegar a la página final.
Al hacer clic, un script JavaScript copia en silencio un comando de PowerShell en el portapapeles y aparecen instrucciones para abrir Ejecutar (Win+R), pegar con Ctrl+V y presionar Intro, un gesto que aparenta ser una verificación de seguridad.
Esta cadena se conoce como ClickFix: no hay descargas visibles ni instaladores, por lo que se minimizan las señales de alerta y es el propio usuario quien ejecuta el payload sin sospecharlo.
Cargas maliciosas: AsyncRAT y Skuld Stealer
El comando desencadena un proceso por etapas que termina instalando AsyncRAT, una herramienta de acceso remoto con capacidades de control total: ejecutar comandos y scripts, registrar pulsaciones, capturar pantalla, gestionar archivos e incluso acceder a escritorio remoto y cámara.
En paralelo se despliega Skuld Stealer, que recopila información del sistema, extrae credenciales del navegador y tokens de autenticación de Discord; además roba frases semilla y contraseñas de carteras como Exodus y Atomic mediante inyección de código en su interfaz.
Todos los datos robados se envían a un webhook de Discord que publica automáticamente la información en un canal privado controlado por los atacantes; con las frases semilla pueden reconstruir las claves privadas y tomar el control de los criptoactivos de la víctima.
Cómo reducir el riesgo
La poca claridad del sistema de invitaciones hace difícil detectar el engaño a primera vista, pero adoptar hábitos prudentes ayuda a cortar la cadena antes de que el malware llegue al equipo.
- No pegues nunca código en la ventana Ejecutar si no sabes exactamente qué hace; los sitios legítimos no te pedirán ese paso.
- Ajusta la privacidad y seguridad de tu cuenta de Discord para limitar la exposición a otros riesgos comunes de la plataforma.
- Instala una solución de seguridad fiable que alerte de redirecciones y bloquee descargas maliciosas, sobre todo si usas carteras de criptomonedas.
El uso de invitaciones caducadas para desviar a servidores trampa, sumado a la ingeniería social de ClickFix y a troyanos como AsyncRAT y Skuld, confirma que los delincuentes exprimen al máximo la infraestructura de Discord; mantener una actitud crítica y reforzar la seguridad es clave para no caer.
