Die Sicherheitsforscher von Check Point melden, dass Cyber-Kriminelle das Einladungs-System der beliebten Plattform für ihre Zwecke ausgenutzt haben
Redwood City, Kalifornien, USA – 12. Juni 2025 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein Pionier und weltweit führender Anbieter von Cyber-Sicherheitslösungen, geht in einem neuen Forschungsbericht auf die allseits beliebte Plattform Discord ein. Ob Gamer, Communities verschiedener Szenen, Geschäftsleute – viele nutzen Discord, um sicher und schnell in Verbindung zu treten. Insgesamt verzeichnet die Plattform rund 200 Millionen aktive monatliche Nutzer und rund 19 Millionen Server.
Cyber-Kriminellen war es nun möglich, mittels eines Fehlers im System gelöschte oder abgelaufene Einladungs-Links per Hijacking für ihre Zwecke zu nutzen. Auf diese Weise konnten sie Nutzer geschickt und heimlich auf ihre schädlichen Server umleiten. Es handelte sich somit um Einladungs-Links, die von vertrauenswürdigen Nutzern, wie legitimen Communities der Plattform, bereits vor Monaten in Internet-Foren, auf Social-Media-Plattformen oder auf offiziellen Websites veröffentlicht wurden. Am Ende der Umleitung durch die Hacker stehen ausgeklügelte Phishing-Angriffe und Malware-Kampagnen, wie die Sicherheitsforscher herausfinden konnten. Dies beinhaltet mehrstufige Infektionen, die einer Erkennung durch Anti-Viren-Software entgehen kann und Sandboxes erkennt, um ungehindert Malware wie AsyncRAT und Skuld Stealer auf den Rechnern der Opfer zu installieren.
Zu den Discord-Links muss man wissen: Es gibt temporäre, permanente und individuelle (vanity genannt). Die temporären Links laufen nach einer bestimmten Zeit ab, die permanenten niemals und die individuellen sind benutzerdefinierte URLs, die nur Servern mit Premium-Status (Level 3 Boost) zur Verfügung stehen. Die Sicherheitsforschung von Check Point ergab, dass Hacker die Handhabung der abgelaufenen oder gelöschten Links missbrauchen können – insbesondere bezogen auf die individuellen Links. Das Problem hierbei: Obwohl ein individueller Link abläuft, oder der ausgebende Server den Premium-Status verliert, kann der Einladungs-Code wieder aktiviert werden. Diesen Umstand nutzen die Cyber-Kriminellen aus: Sie können den reaktivierten Code für sich nutzen und die Discord-Nutzer auf ihre Server umleiten. In vielen Fällen stiessen die Nutzer auf solche Codes bei alten und verlässlichen Discord-Quellen und hatten somit keinen Grund für Misstrauen. Was die Sache noch verschlimmert: Die Discord App vermittelt den Nutzern manchmal den falschen Eindruck, dass temporäre Links dauerhaft gespeichert worden wären, was zu der Ansammlung von Codes beiträgt, die von Hackern missbraucht werden können.
Wenn ein solcher Einladungs-Link von den Hackern umgebaut wird, dann leitet er die Nutzer auf einen schädlichen Server um, die echte Discord-Server und ihre Oberflächen täuschend echt nachbilden. Ausserdem sind für Neuankömmlinge bei Discord-Servern meist viele Kanäle gesperrt, bis auf einen, der sich «Verify» nennt, und das neue Konto verifizieren soll – so auch auf dem Hacker-Server. Ein falscher Chat-Bot namens «Safeguard» fordert die Nutzer auf, die übliche Verifikation durchzuführen.
Abbildung 1: Ein gefälschter Discord-Server, zu dem der Nutzer umgeleitet wird, samt gefälschtem Chat-Bot zu Verifikation des Benutzerkontos (Check Point Software Technologies Ltd.).
Klickt der Nutzer nun auf «Verify» wird ein OAuth2-Prozess in Gang gesetzt und leitet den Nutzer auf eine Phishing-Seite um, die Discord äusserst ähnlich sieht. Diese Website lädt vorab eine schädliche PowerShell-Befehlsstruktur in die Oberfläche und leitet den Nutzer nun durch einen gefälschten Prozess zur vermeintlichen Verifizierung. Diese Technik, die als ClickFix bekannt ist, verleitet den Nutzer trickreich dazu, den PowerShell-Befehl über den Windows-Ausführen-Dialog ausführen zu lassen. Tut er das, veranlasst das PowerShell-Script das Herunterladen zusätzlicher Komponenten von Pastebin und GitHub und startet somit eine mehrstufige Infektion des Zielrechners. Am Ende wird der Computer mit Payloads infiziert, darunter Remote Access Trojans (RAT), wie AsyncRAT, die den Hackern einen Fernzugriff gewähren, sowie der Skuld Stealer, welcher es auf Zugangsdaten von Browsern und Krypto-Wallets abgesehen hat.
Was die Sicherheitsforscher zu bedenken geben: Die Kampagne ist nicht statisch angelegt worden. Sie konnten beobachten, dass die Cyber-Kriminellen regelmässig ihren Downloader aktualisieren, um eine Zero-Detection-Bewertung bei der Viren-Datenbank VirusTotal aufrecht zu erhalten. Zudem haben sie eine gleichzeitig laufende, gleiche Kampagne gefunden, die gezielt Videospieler anspricht. Dort wurde der erste Downloader in ein mit Trojanern verseuchtes Cheat-Tool für das Videospiel The Sims 4 gepackt. Die Hacker sind also flexibel genug unterwegs, um verschiedene Gruppen ins Visier zu nehmen.
Die Sicherheitsforscher betonen, dass die Schätzung einer Opferzahl sehr schwer ist, da eben die Discord Webhooks heimlich für den Datendiebstahl benutzt werden. Anhand der Download-Zahlen aus den Repositories, die für diese Malware-Kampagne genutzt werden, lassen sich aber über 1300 Downloads ablesen. Diese verteilen sich über die ganze Welt, darunter auch Deutschland, Frankreich, Grossbritannien und die USA. Da der Fokus auf dem Diebstahl von Zugangsdaten, vor allem von Krypto-Geldbörsen, liegt, gehen die Sicherheitsforscher von einer eindeutig finanziellen Motivation der Angreifer aus.
Diese Hacker-Attacke unterstreicht, wie ein kleines Untersystem einer vertrauenswürdigen Plattform, wie Discord und die zugehörigen Einladungs-Links, missbraucht werden können. Durch das Hijacking vertrauenswürdiger Links schufen die Angreifer eine effektive Angriffskette, die Social Engineering mit dem Missbrauch legitimer Dienste, wie GitHub, Bitbucket und Pastebin, kombinierte.
Abbildung 2: Überblick der Angriffskette – vom PowerShell-Downloader zur Malware Payload (Check Point Software Technologies Ltd.).
Anstatt auf aufwendige Verschleierungstechniken zu setzen, nutzten die Angreifer einfachere, heimlichere Methoden, wie verhaltensbasierte Ausführung, geplante Aufgaben und verzögerte Entschlüsselung der Payload. Diese Kampagne verdeutlicht somit die zunehmende Raffinesse von Social-Engineering-Angriffen, die das Vertrauen der Benutzer in Dienste missbrauchen. Dies zeigt, wie leicht beliebte Plattformen manipuliert werden können, wenn grundlegende Funktionen – wie die schlichte Verarbeitung von Einladungs-Links – ungesichert bleiben.
Discord hat bereits den schädlichen Bot, der in dieser Kampagne benutzt wurde, stillgelegt, aber die zentrale Taktik bleibt anwendbar. Hacker können einfach neue Bots registrieren oder neue Angriffswege gehen, während sie damit fortfahren, das Einladungs-System zu missbrauchen.
Nutzer von Discord können folgende Tipps beherzigen, um sich zu schützen:
- Einladungs-Links lieber doppelt prüfen: Immer die URL vor dem Klick auf Ungereimtheiten untersuchen und auch dann, wenn der Link aus einer alten, vertrauenswürdigen Quelle stammt (wie ein Forum-Post oder ein Tweet) die Legitimität dieser Quelle prüfen.
- Permanente Einladungs-Links bevorzugen: Betreibt man einen eigenen Discord-Server, sollten dauerhafte Links, die niemals erlöschen, ausgegeben werden. Temporäre sollte man zudem niemals veröffentlichen.
- Auf das Siegel «Verifizierte App» achten, bevor man Bots nutzt: Legitime Bots tragen das offizielle Discord-Siegel «Verifizierte App». Viele falsche Bots tragen es nicht.
- Niemals unbekannte Befehlszeilen ausführen lassen: Kein echter Discord-Server oder -Prozess sollte den Nutzer auffordern, einen PowerShell-Befehl ausführen zu lassen oder andere Codes in das Kommando-Fenster des Computers zu kopieren. Sollte man dazu aufgefordert werden, immer die Legitimität der Aufforderung prüfen.
- Mehrschichtige Abwehr und vorrausschauenden Schutz einführen: Unternehmen sollten Security Awareness Training mit Endpunkt-Schutz, Phishing-Erkennung und Browser-Sicherheitslösungen kombinieren, die präventiv gegen Cyber-Bedrohungen vorgehen.
Alle Einzelheiten lesen Sie hier: https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
Folgen Sie Check Point über:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com/
YouTube: https://www.youtube.com/user/CPGlobal
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter einer KI-gestützten, cloud-basierten Cyber-Sicherheitsplattform, die mehr als 100’000 Unternehmen weltweit schützt. Check Point nutzt die Kraft der KI überall, um die Effizienz und Genauigkeit der Cyber-Sicherheit durch seine Infinity-Plattform zu verbessern, dies mit branchenführenden Erkennungsraten, die eine Antizipation von Bedrohungen und intelligentere, schnellere Reaktionszeiten ermöglichen. Die umfassende Plattform umfasst Cloud-Technologien, bestehend aus Check Point Harmony zur Absicherung des Arbeitsplatzes, Check Point CloudGuard zur Absicherung der Cloud, Check Point Quantum zur Absicherung des Netzwerks und Check Point Infinity Core Services für kollaborative Sicherheitsabläufe und -dienste.
Legal Notice Regarding Forward-Looking Statements
This press release contains forward-looking statements. Forward-looking statements generally relate to future events or our future financial or operating performance. Forward-looking statements in this press release include, but are not limited to, statements related to our expectations regarding Check Point’s leadership transition process, future growth, the expansion of Check Point’s industry leadership, the enhancement of shareholder value and the delivery of an industry-leading cyber security platform to customers worldwide. Our expectations and beliefs regarding these matters may not materialize, and actual results or events in the future are subject to risks and uncertainties that could cause actual results or events to differ materially from those projected. The forward-looking statements contained in this press release are also subject to other risks and uncertainties, including those more fully described in our filings with the Securities and Exchange Commission, including our Annual Report on Form 20-F filed with the Securities and Exchange Commission on April 2, 2024. The forward-looking statements in this press release are based on information available to Check Point as of the date hereof, and Check Point disclaims any obligation to update any forward-looking statements, except as required by law.
Pressekontakt:
Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com