AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciberdelincuentes secuestran invitaciones de Discord para propagar AsyncRAT y Skuld Stealer**

admin

### 1. Introducción

En el último trimestre, investigadores de ciberseguridad han detectado una sofisticada campaña de secuestro de enlaces de invitación de Discord, utilizada por actores maliciosos para redirigir a usuarios desprevenidos hacia servidores controlados por atacantes. El objetivo final es distribuir troyanos de acceso remoto como AsyncRAT y el infostealer Skuld, dos herramientas ampliamente empleadas para el robo de información y el control remoto de sistemas. Este vector de ataque demuestra la creciente explotación de plataformas legítimas de colaboración y mensajería instantánea en campañas de malware dirigidas a empresas y usuarios finales.

### 2. Contexto del Incidente

Discord, una plataforma con más de 150 millones de usuarios activos mensuales, se ha convertido en un canal habitual para comunidades tecnológicas, gaming, educación y, cada vez más, para equipos de trabajo remoto. Sin embargo, su popularidad no ha pasado desapercibida para los ciberdelincuentes, que han visto en la funcionalidad de enlaces de invitación una oportunidad para ejecutar ataques de ingeniería social y malware.

En esta campaña, los atacantes logran secuestrar enlaces de invitación legítimos, ya sea a través de phishing, explotación de permisos de administradores o mediante técnicas de typosquatting, generando URLs visualmente similares a las originales. Una vez que el usuario accede al enlace comprometido, es redirigido a un servidor controlado por los atacantes, donde se le incita a descargar archivos maliciosos bajo pretextos como actualizaciones, mods o herramientas administrativas.

### 3. Detalles Técnicos

#### Vulnerabilidad y CVE

Actualmente, no existe un CVE específico para el secuestro de enlaces de invitación de Discord, ya que la técnica explota la confianza del usuario y las funcionalidades inherentes a la plataforma, más que una vulnerabilidad técnica en el software de Discord.

#### Vectores de ataque

Los principales vectores identificados son:

– **Phishing:** Envío de mensajes directos o correos electrónicos con enlaces de invitación manipulados.
– **Secuestro de cuentas de administradores:** Los atacantes obtienen acceso a cuentas privilegiadas y modifican las invitaciones oficiales.
– **Typosquatting:** Creación de enlaces con pequeñas variaciones tipográficas respecto a los originales.
– **Uso de servidores falsos:** Imitación de comunidades legítimas para engañar a los usuarios.

#### Tácticas, Técnicas y Procedimientos (TTP) según MITRE ATT&CK

– **Initial Access (T1078):** Obtención de credenciales para cuentas de Discord.
– **Phishing (T1566):** Distribución de enlaces maliciosos.
– **Command and Control (T1105):** Uso de AsyncRAT para el control remoto de sistemas infectados.
– **Credential Access (T1555):** Skuld Stealer para exfiltrar credenciales y cookies almacenadas.

#### Indicadores de Compromiso (IoC)

– Ejecución de archivos con nombres como “update.exe”, “modinstaller.bat” o similares.
– Comunicaciones salientes a dominios o IPs no asociadas a Discord.
– Presencia de procesos de AsyncRAT (`AsyncClient.exe`) y Skuld Stealer (`skuld.exe`).

#### Herramientas y frameworks

– **AsyncRAT:** Framework de acceso remoto basado en .NET, con capacidades de keylogging, captura de pantalla y control de procesos.
– **Skuld Stealer:** Infostealer especializado en la exfiltración de credenciales de navegadores, wallets de criptomonedas y datos del sistema.
– **Posible uso de frameworks como Metasploit para explotación secundaria.**

### 4. Impacto y Riesgos

El impacto potencial de este tipo de ataques es elevado, especialmente en entornos corporativos donde Discord se utiliza como canal de comunicación. Entre los principales riesgos destacan:

– **Exfiltración de credenciales y datos sensibles.**
– **Acceso remoto y persistencia en sistemas comprometidos.**
– **Movilidad lateral e infección de otros usuarios de la comunidad.**
– **Compromiso de infraestructura TI y acceso a recursos internos.**

Según datos de Kaspersky, más del 20% de las campañas recientes de malware en plataformas de mensajería instantánea han empleado Discord como vector primario. Las pérdidas asociadas a robo de información y fraudes derivados pueden superar los 500.000 euros por incidente en medianas empresas, con posibles sanciones bajo el RGPD o la nueva directiva NIS2 si se produce fuga de datos personales.

### 5. Medidas de Mitigación y Recomendaciones

– **Verificación de enlaces de invitación:** Instar a los usuarios a comprobar la legitimidad de las URLs antes de acceder.
– **Bloqueo de descargas automáticas:** Configurar Discord y los navegadores para no ejecutar automáticamente archivos descargados.
– **Segregación de permisos:** Limitar los privilegios de administración en servidores Discord corporativos.
– **Formación en concienciación:** Capacitar a los empleados sobre riesgos de ingeniería social y phishing.
– **Implementación de EDR y análisis de tráfico:** Monitorizar endpoints y redes para detectar IoCs asociados a AsyncRAT y Skuld Stealer.
– **Actualización y hardening de sistemas:** Mantener sistemas operativos y antivirus actualizados; emplear listas blancas de aplicaciones.

### 6. Opinión de Expertos

Expertos consultados advierten del auge de ataques en plataformas legítimas que, por su naturaleza colaborativa y descentralizada, dificultan la aplicación de controles tradicionales. “La confianza en canales internos puede ser una debilidad si no se aplican políticas de seguridad y validación de enlaces”, apunta Javier Ortega, analista de amenazas en una firma europea de ciberseguridad. Recomienda complementar las políticas de Zero Trust con controles específicos para plataformas de mensajería y colaboración.

### 7. Implicaciones para Empresas y Usuarios

La explotación de Discord como vector de ataque evidencia la necesidad de incorporar canales de comunicación no convencionales en los modelos de threat hunting y gestión de riesgos. Para las empresas, la exposición a ataques dirigidos a través de Discord implica una revisión de políticas de uso, segregación de entornos y supervisión activa de tráfico y actividad en estas plataformas. Los usuarios deben adoptar una postura proactiva, desconfiando de enlaces no solicitados o descargas externas incluso en entornos aparentemente seguros.

### 8. Conclusiones

El secuestro de invitaciones de Discord para distribuir AsyncRAT y Skuld Stealer representa una amenaza emergente que combina la ingeniería social con el abuso de funcionalidades legítimas. La sofisticación y alcance de estos ataques subrayan la importancia de una estrategia de ciberseguridad integral, que contemple tanto la protección técnica como la formación y concienciación de los usuarios. La adaptación continua de los controles de seguridad, junto con una monitorización avanzada, serán claves para mitigar este tipo de riesgos.

(Fuente: www.kaspersky.com)