Una nuova truffa circola su Discord: mostrano giochi indie inesistenti per convincere le vittime a scaricare malware.
Nelle ultime settimane è emerso uno schema truffaldino che sfrutta Discord per diffondere malware. I malintenzionati creano annunci di giochi indie non esistenti, diffondendo link di invito a server che promettono download diretti. Gli utenti, entusiasti di scoprire titoli esclusivi, cliccano e vengono indirizzati a file pericolosi: l’installazione infetta il computer, distribuendo software malevoli. Il meccanismo è subdolo perché sfrutta la fiducia nella community videoludica e la curiosità dei gamer.
Il meccanismo della truffa
Gli hacker costruiscono server Discord con nomi invitanti e riferimenti a giochi indie mai pubblicati. Pubblicano link di invito su forum, social e gruppi gamer, spingendo gli utenti ad entrare. Una volta dentro, si trovano canali “Download” dove è offerto un eseguibile che sembra legittimo. In realtà contiene malware come RAT (Remote Access Tool) o trojan che permettono il controllo remoto del PC, furto di dati e altri attacchi. Spesso i server mostrano recensioni false, conversazioni simulate e screenshot ingannevoli per dare l’impressione di autenticità. Le vittime cadono nella trappola credendo di essere in una community dedicata al gaming indie.
Casi documentati e modalità utilizzate
Secondo rapporti di sicurezza, alcuni attaccanti sfruttano meccaniche avanzate: reindirizzano link di invito scaduti, registrano URL simili a quelli originali, e sfruttano tecniche come ClickFix per nascondere malware multistadio. In un caso documentato, utenti che avevano visitato server legittimi sono stati reindirizzati a server contraffatti senza accorgersene. I malware installati possono operare in background, rubare password, criptovalute, file personali o inserire keylogger silenziosi. La violazione di link di invito è un punto vulnerabile: chi utilizza URL corrotti o non aggiornati può diventare vittima senza accorgersi subito. Come testimoniato da analisi recenti, i link “scaduti” possono essere registrati nuovamente da hacker e utilizzati per ingannare gli utenti già abituati a farne uso.
Consigli per proteggersi
Per difendersi, è fondamentale non entrare in server Discord da link non verificati. Controlla sempre la fonte: server ufficiali, sviluppatori, community note. Non scaricare mai file eseguibili da canali non certificati. Usa antivirus aggiornati, attiva controlli su accessi remoti e verifica i permessi richiesti dai bot nei server. Inoltre, evita di concedere bottoni “Verify” senza capire le autorizzazioni richieste. Se un server attiva bot che richiedono accesso a file o sistemi, scatta il campanello d’allarme. La prudenza è la migliore difesa, soprattutto in ambienti digitali dove l’inganno può nascondersi dietro all’estetica di un gioco indie mai esistito.