Discord, platforma populară de comunicații, a devenit un teritoriu favorabil pentru activitățile hackerilor și acum și pentru grupurile APT (amenințări persistente avansate), fiind folosită în mod obișnuit pentru distribuirea malware-ului, exfiltrarea datelor și este ținta hackerilor care fură token-uri de autentificare.
Studiu de caz: atacul APT în Ucraina
Cercetătorii au evidențiat un caz în care un grup APT necunoscut a vizat infrastructura critică din Ucraina folosind momeli de tip spear-phishing.
E-mailurile malefice conțin un atașament OneNote care pretinde a fi de la o organizație non-profit din Ucraina și care conține un buton încorporat care declanșează executarea unui Visual Basic Script (VBS) conceput pentru a extrage și executa un script PowerShell. În ultima sa fază, PowerShell profită de un webhook Discord pentru a exfiltra metadatele sistemului.
Pe lângă aceasta, unele dintre familile comune de malware care s-au observat folosind webhook-urile Discord sunt Mercurial Grabber, Stealerium, Typhon Stealer și Venom RAT.
APTurile sunt cunoscute pentru atacurile lor sofisticate și țintite, iar prin infiltrarea în platforme de comunicații larg utilizate precum Discord, acestea pot stabili eficient puncte de sprijin pe termen lung în rețele, punând în pericol infrastructura critică și datele sensibile.
Discord folosit de malware-uri
Discord a fost folosit pe scară largă de către hackeri în trei moduri principale:
- Distribuirea malware-urilor: Hackerii au profitat de rețeaua de livrare a conținutului (CDN) a Discord-ului pentru a trimite atașamente ce conțin malware-uri pe dispozitivele victimelor. Acest lucru îi ajută să evite detecția antivirus, deoarece fișierele par a proveni de la domeniul de încredere "cdn.discordapp.com."
- Furtul de parole: Anumite grupuri au modificat clientul Discord pentru a fura parolele utilizatorilor.
- Furtul de date: Discord a fost folosit și pentru a fura date din sistemele victimelor folosind webhook-uri.
Un webhook este o metodă automatizată prin care o aplicație web (sau un serviciu web) poate trimite date în timp real către alte aplicații sau servicii. Practic, un webhook este un mecanism prin care două sisteme software pot comunica în mod automat și instantaneu atunci când evenimente specifice au loc în unul dintre aceste sisteme. Webhook-urile sunt utilizate frecvent în dezvoltarea web pentru a automatiza fluxurile de lucru și pentru a integra diferite aplicații și servicii.
Chiar dacă abuzul APT-urilor pe Discord rămâne limitat la fazele de recunoaștere inițiale ale atacului, această evoluție este îngrijorătoare.
Deși problema a crescut în amploare, Discord nu a reușit să implementeze măsuri eficiente pentru a descuraja infractorii cibernetici sau pentru a limita abuzurile. Platforma are o scară impresionantă, iar schimbul de date este criptat. Din acest motiv, Discord găsește dificil să distingă între utilizatorii buni și răi.
Interzicerea conturilor suspectate de activități malefice nu reușește să oprească hackerii din a crea altele noi și de a-și relua activitățile, ceea ce indică faptul că problema va deveni mai gravă în viitor.
Fiți atenți la mesajele de la utilizatori necunoscuți și verificați întotdeauna identitatea surselor care solicită informații sau acțiuni din partea voastră. Nu divulgați informații personale sensibile pe Discord și fiți sceptici în privința solicitărilor de date personale de la persoane necunoscute. Totodată, sigurați-vă că software-ul Discord este mereu actualizat. De multe ori, actualizările conțin patch-uri de securitate care pot proteja împotriva vulnerabilităților cunoscute.