HACKING

Το Discord χρησιμοποιείται όλο και περισσότερο για διανομή malware

This post was originally published on this site

Το Discord χρησιμοποιείται όλο και περισσότερο για κακόβουλη δραστηριότητα από hackers και ομάδες APT, για τη διανομή malware, την κλοπή δεδομένων και την κλοπή authentication tokens.

Μια νέα έκθεση της Trellix εξηγεί ότι η πλατφόρμα χρησιμοποιείται τώρα και από APT hackers, οι οποίοι κάνουν κατάχρηση του Discord για να στοχεύσουν κρίσιμες υποδομές.

Και δυστυχώς, το Discord δεν έχει καταφέρει να εφαρμόσει αποτελεσματικά μέτρα, μέχρι τώρα, για να αποτρέψει τους εγκληματίες του κυβερνοχώρου και να αντιμετωπίσει αποφασιστικά το πρόβλημα.

Το Discord χρησιμοποιείται για διανομή malware

Οι φορείς απειλών κάνουν κατάχρηση του Discord με τρεις τρόπους: αξιοποίηση του content delivery network (CDN) για τη διανομή κακόβουλου λογισμικού, τροποποίηση του Discord client για κλοπή κωδικών πρόσβασης και κατάχρηση των webhook του Discord για την κλοπή δεδομένων από το σύστημα του θύματος.

Δείτε επίσης: Το Lumma Stealer διανέμεται μέσω Discord CDN

Το CDN του Discord χρησιμοποιείται συνήθως για την παράδοση κακόβουλων payloads στον υπολογιστή του θύματος, βοηθώντας τους επιτιθέμενους να αποφύγουν τον εντοπισμό AV, καθώς τα αρχεία αποστέλλονται από το αξιόπιστο domain “cdn.discordapp.com“.

Σύμφωνα με την Trellix, τουλάχιστον 10.000 δείγματα κακόβουλου λογισμικού χρησιμοποιούν το Discord CDN για τη φόρτωση payloads δεύτερου σταδίου σε συστήματα.

Τα payloads δεύτερου σταδίου που λαμβάνονται μέσω του CDN του Discord είναι κυρίως τα RedLine stealer, Vidar, AgentTesla, zgRAT και Raccoon stealer.

Όσον αφορά στην κατάχρηση των webhooks του Discord για κλοπή δεδομένων, η Trellix αναφέρει τα ακόλουθα 17 malware που έχουν χρησιμοποιηθεί από τον Αύγουστο του 2021:

  • MercurialGrabber
  • AgentTesla
  • UmbralStealer
  • Stealerium
  • Sorano
  • zgRAT
  • SectopRAT
  • NjRAT
  • Caliber44Stealer
  • InvictaStealer
  • StormKitty
  • TyphonStealer
  • DarkComet
  • VenomRAT
  • GodStealer
  • NanocoreRAT
  • GrowtopiaStealer

Αυτά τα malware συλλέγουν credentials, browser cookies, cryptocurrency wallets και άλλα δεδομένα από μολυσμένα συστήματα και στη συνέχεια τα ανεβάζουν σε έναν διακομιστή Discord που ελέγχεται από τους επιτιθέμενους, χρησιμοποιώντας webhook. Οι επιτιθέμενοι, στη συνέχεια, μπορούν να συλλέξουν τα κλεμμένα δεδομένα.

Δείτε επίσης: Αλγόριθμος AI ανιχνεύει επιθέσεις MitM σε στρατιωτικά οχήματα

Οι μεγαλύτεροι “παραβάτες” για το 2023 είναι, μέχρι τώρα, τα Agent Tesla, UmbralStealer, Stealerium και zgRAT.

Όπως και το CDN του Discord, έτσι και τα webhooks δίνουν στους εγκληματίες του κυβερνοχώρου τη δυνατότητα να κλέβουν δεδομένα, χωρίς να γίνονται αντιληπτοί από τα εργαλεία παρακολούθησης δικτύου.

Επιπλέον, τα webhook είναι εύκολο να ρυθμιστούν και να χρησιμοποιηθούν με ελάχιστες γνώσεις coding, ενώ επιτρέπουν την εξαγωγή σε πραγματικό χρόνο και είναι οικονομικά αποδοτικά.

Οι APT hacking ομάδες στρέφονται στο Discord

Η Trellix λέει τώρα ότι οι εξελιγμένες ομάδες απειλών APT αρχίζουν να χρησιμοποιούν το Discord.

Οι ερευνητές τόνισαν μια περίπτωση όπου μια ομάδα APT στόχευσε κρίσιμες υποδομές στην Ουκρανία χρησιμοποιώντας spear-phishing.

Τα κακόβουλα email φέρουν ένα συνημμένο OneNote που προσποιείται ότι προέρχεται από έναν μη κερδοσκοπικό οργανισμό στην Ουκρανία. Περιέχει ένα ενσωματωμένο κουμπί που ενεργοποιεί την εκτέλεση κώδικα VBS όταν γίνεται κλικ.

Ο κώδικας αποκρυπτογραφεί μια σειρά από scripts που δημιουργούν επικοινωνία με ένα GitHub repository για τη λήψη του τελικού payload, το οποίο αξιοποιεί τα webhook του Discord για την εξαγωγή δεδομένων.

Οι ομάδες APT είναι γνωστές για τις εξελιγμένες και στοχευμένες επιθέσεις τους και διεισδύοντας σε ευρέως χρησιμοποιούμενες πλατφόρμες επικοινωνίας όπως το Discord, μπορούν να δημιουργήσουν αποτελεσματικά μακροπρόθεσμα ερείσματα μέσα στα δίκτυα, θέτοντας σε κίνδυνο κρίσιμες υποδομές και ευαίσθητα δεδομένα“, λέει η Trellix.

Δείτε επίσης: Το RomCom backdoor στόχευσε συμμετέχουσες του Women Political Leaders (WPL) Summit

Δυστυχώς, η δημοτικότητα της πλατφόρμας και η κρυπτογραφημένη ανταλλαγή δεδομένων σε συνδυασμό με τις όλο και πιο εξελιγμένες απειλές και το γεγονός ότι τα χαρακτηριστικά που καταχρώνται εξυπηρετούν νόμιμους σκοπούς για τους περισσότερους χρήστες, καθιστούν σχεδόν αδύνατο για το Discord να διακρίνει την κακόβουλη συμπεριφορά.

Επίσης, το μπλοκάρισμα ύποπτων λογαριασμών δεν εμποδίζει τους κακόβουλους παράγοντες να δημιουργήσουν νέους και να συνεχίσουν τις δραστηριότητές τους. Επομένως, η κατάχρηση του Discord πιθανότατα θα συνεχιστεί, ενώ οι επιθέσεις μπορεί να γίνουν ακόμα πιο πολύπλοκες.

Η συνεχιζόμενη πάλη του Discord με τις επιθέσεις malware

Το Discord προσπαθεί να αντιμετωπίσει αυτή την απειλή. Εφαρμόζει αυστηρές πολιτικές για την αποφυγή της κακόβουλης δραστηριότητας στην πλατφόρμα του, αλλά δυστυχώς δεν είναι αρκετό. 

Εντούτοις, η αναγνώριση και η καταπολέμηση των κακόβουλων λογισμικών είναι μια συνεχής προσπάθεια. Χρειάζεται συνεχής βελτίωση των μηχανισμών ανίχνευσης, επικύρωσης και αντιμετώπισης, ώστε η πλατφόρμα να παραμείνει ένα βήμα μπροστά από τους κυβερνοεγκληματίες. Το Discord, όπως όλες οι άλλες υπηρεσίες διαδικτυακής επικοινωνίας, βρίσκεται στο στόχαστρο των κακόβουλων χρηστών. Η προσπάθεια από την πλευρά των πλατφορμών είναι μόνο η μια όψη του ζητήματος. Είναι ζωτικής σημασίας και οι ίδιοι χρήστες να αναλάβουν την ευθύνη για την ασφάλειά τους, ελέγχοντας καλύτερα τις πηγές τους, αποφεύγοντας το άνοιγμα ύποπτων μηνυμάτων, συνημμένων και συνδέσμων και διατηρώντας τα συστήματά τους προστατευμένα.

Πηγή: www.bleepingcomputer.com

https://www.secnews.gr/security/

%d bloggers like this: