Οι χάκερ πιέζουν κακόβουλο λογισμικό χρησιμοποιώντας το Discord

Ερευνητές που συνεργάζονται με εταιρείες ψηφιακής ασφάλειας RiskIQ και Check Point ανακάλυψαν ανεξάρτητα ότι οι φορείς απειλής έχουν αυξήσει τη χρήση της πλατφόρμας Discord για τη διανομή κακόβουλου λογισμικού, κυρίως τροϊανών απομακρυσμένης πρόσβασης ή RAT.

Δεν είναι η πρώτη φορά που οι νόμιμες λειτουργίες του Discord που προορίζονται για κανονική χρήση καταχράζονται από χάκερ. Η πλατφόρμα Discord είναι μια υπηρεσία επικοινωνίας που περιλαμβάνει φωνητική και βίντεο συνομιλία, καθώς και οργανωμένους διακομιστές και κανάλια ή δωμάτια που χρησιμοποιούνται για συνομιλία με κείμενο. Το Discord έχει επίσης τους δικούς του διακομιστές αποθήκευσης και επιτρέπει στους χρήστες να επισυνάψουν αρχεία σε συνομιλίες και κανάλια, και αυτά τα αρχεία φιλοξενούνται χρησιμοποιώντας το δίκτυο παράδοσης περιεχομένου Discord ή το CDN.

Αυτό το στοιχείο της υπηρεσίας χρησιμοποιούσαν ενεργά οι κακοί παράγοντες για την αποθήκευση και τη διανομή κακόβουλου λογισμικού. Η ερευνητική ομάδα στο RiskIQ μέτρησε έως και 27 διαφορετικές οικογένειες κακόβουλου λογισμικού που παραδίδονται μέσω του CDN του Discord. Τα κακόβουλα αρχεία που αποθηκεύονται στο Discord CDN περιλαμβάνουν εκτελέσιμα, DLL και διαφορετικά αρχεία εγγράφων και αρχειοθέτησης.

Οι τύποι κακόβουλων αρχείων που διανέμονται στη δειγματοληψία που εξετάστηκαν από την ερευνητική ομάδα περιλάμβαναν trojans, backdoors και κλέφτες κωδικών πρόσβασης.

Η εξέταση αυτού του ζητήματος προκλήθηκε σε μεγάλο βαθμό από την αυξανόμενη δημοτικότητα του Discord. Παρόλο που η υπηρεσία ξεκίνησε σε μεγάλο βαθμό ως εναλλακτική λύση στο Teamspeak και ήταν ως επί το πλείστον μια υπηρεσία φωνητικής συνομιλίας για παίκτες, έχει εξελιχθεί σημαντικά από την έναρξή της και χρησιμοποιείται πλέον από πάνω από 350 εκατομμύρια ανθρώπους σε όλο τον κόσμο.

Αυτή η ομάδα χρηστών περιλαμβάνει επίσης εταιρείες και οργανισμούς που έχουν επιλέξει να χρησιμοποιούν το Discord ως "εσωτερικό" μέσο επικοινωνίας τους. Αυτό σημαίνει ότι κατά συνέπεια αυτά τα συστήματα είναι επίσης δυνητικά εκτεθειμένα σε αυτό το κακόβουλο λογισμικό. Παρόλο που η ζημιά για έναν οικιακό χρήστη μπορεί να μην είναι δραματική ή σημαντική, στο μεγάλο σχέδιο πραγμάτων, ένας κλέφτης κωδικού πρόσβασης που προσγειώνεται σε ένα δικτυωμένο μηχάνημα σε έναν οργανισμό έχει πολύ μεγαλύτερες επιπτώσεις όταν πρόκειται για την ασφάλεια. Όπως τόνισε ο RiskIQ στην έκθεσή του, η τάση των φορέων απειλών να χρησιμοποιούν νόμιμες υπηρεσίες φιλοξενίας CDN ή cloud για την αποθήκευση και τη διανομή του κακόβουλου λογισμικού τους είναι ένα συνεχές ζήτημα που δεν δείχνει σημάδια επιβράδυνσης.