A Sophos biztonsági cég új kutatása szerint az elmúlt két hónapban a vírust hosztoló URL-ek száma a Discord Content Management Networkjén (CDN) 140 százalékkal növekedett 2020 azonos időszakához képest. Az új kutatás a Discord CDN-en észlelt több, mint 1800 káros fájl részletes vizsgálatára támaszkodva megmutatja, hogy a támadók hogyan használják ki a népszerű Discord chat platformot adatlopásra és más rosszindulatú programok terjesztésére a fogyasztók és üzleti felhasználók között, melyek közé a szabotázsra vagy túlterheléses támadásra átszabott régi zsarolóvírusok is tartoznak.
A Discord egy stabil és könnyen elérhető globális terjesztő-hálózatot biztosít a vírusok üzemeltetői számára, és egy üzenetkezelő rendszert is, melyet ezek az üzemeltetők a rosszindulatú programjaik vezérlésre használt kommunikációs csatornáivá adaptálhatnak – hasonlóan, mint ahogy a támadók az IRC-t és a Telegramot használják”
– mondta el a vizsgálat kapcsán Sean Gallagher, a Sophos senior fenyegetés-kutatója. „A Discord hatalmas felhasználói bázisa ideális környezetet biztosít a személyes információk és hozzáférési adatok social engineering módszerek használatával történő ellopásához is.
A szakértő elmondása szerint olyan vírust is találtak, ami a megfertőzött eszköz kameráján keresztül képes privát képeket lopni, és egy 2006-os zsarolóvírust is, amelyet a támadók úgynevezett „mischiefware”-ként keltette újból életre. A mischiefware megtagadja a hozzáférést az áldozat adataihoz, viszont nincs váltságdíj-követelés vagy a titkosítást feloldó kulcs sem.
A támadók azt is észrevették, hogy egyre több cég ugyanúgy használja a Discord platformot a belső vagy a közösségi chathez, mint ahogy egy más csatornát, például a Slacket használnák. Ez a támadók számára új és potenciálisan jövedelmező célpontokat biztosít, különösen, amikor a biztonsági csapatok nem mindig tudják Discord felé menő vagy onnan származó TLS-titkosított („Transport Layer Security”) forgalmat ellenőrizni ahhoz, hogy lássák, mi is történik és szükség esetén riadót fújjanak.
A Discordhoz köthető káros tartalommal kapcsolatban a Sophos az alábbiakat állapította meg:
- A vírus gyakran a játékokhoz kapcsolódó eszközöknek vagy csalásoknak van álcázva. A gyakori csalások közé tartoznak azok a modok, amelyekkel a játékosok ártalmatlaníthatják ellenfeleiket vagy ingyenesen férhetnek hozzá a prémium funkciókhoz – általában olyan népszerű játékoknál, mint a Minecraft, Fortnite, Roblox vagy a Grand Theft Auto. A kutatók egy olyan csalit is találtak, mely egy fejlesztés alatt lévő játék tesztelésének lehetőségét kínálta a játékosoknak.
- Az információkat lopó eszközök jelentik a legelterjedtebb fenyegetést, melyek a talált vírus 35 százalékát teszik ki. A Sophos által a Discordon észlelt vírus több, mint 10 százalék a „Bladabindi” családba tartozó adattolvaj backdoorok közé tartozik. A Sophos kutatói számos jelszólopó vírust találtak, köztük olyan Discord biztonsági token naplózó eszközöket is, amiket specifikusan Discord fiókok ellopására készítettek. Egy másik esetben a kutatók a Minecraft egy módosított telepítőjére lettek figyelmesek, mely a játék mellett egy Saint nevű modot is installál. A Saint valójában egy kémprogram, amely képes billentyűleütések, képernyőképek és a fertőzött eszköz kameráján keresztül közvetlenül készített képanyag megszerzésére.
- Az elemzett fájlok között a támadók által terjesztett Windows zsarolóvírusok több típusa is szerepelt, melyek anélkül blokkolják az adatokhoz való hozzáférést, hogy váltságdíjat követelnének vagy lehetőséget kínálnának az áldozatnak a visszafejtő kulcs megszerzésére.
Technikai szinten a kutatók olyan vírusokat találtak, melyek a Discord chatbotok API-jait („Application Programming Interface”) használják, hogy titokban kommunikáljanak a vezérlőszerverükkel és utasításokat fogadjanak tőle. Olyan fájlokra is bukkantak, melyek állításuk szerint népszerű kereskedelmi szoftverek feltört verzióit telepítik, mint például az Adobe Photoshopot és olyan eszközöket, melyek azt állítják, hogy a Discord Nitro fizetős funkcióit biztosítják a felhasználónak, mely a szolgáltatás prémium változata.
A Sophos azt javasolja a munkahelyi chatre és együttműködésre Discordot használó szervezeteknek, hogy alkalmazzanak többlépcsős hitelesítést (MFA) a dolgozók Discord fiókjainak védelméhez és bizonyosodjanak meg arról, hogy minden dolgozó naprakészre frissített vírus elleni védelemmel rendelkezik bármely digitális eszközén, amelyet a távoli kollaborációs platformokhoz való hozzáféréshez használnak a munkahelyi projektek kapcsán.
