Įsilaužėliai stumia kenkėjiškas programas naudodamiesi nesantaika
Mokslininkai, dirbantys su skaitmeninio saugumo įmonėmis „RiskIQ“ ir „Check Point“, nepriklausomai atrado, kad grėsmių veikėjai paspartino „Discord“ platformos naudojimą platinti kenkėjišką programinę įrangą, visų pirma nuotolinės prieigos Trojos ar RAT.
Tai ne pirmas kartas, kai įsilaužėliai piktnaudžiauja teisėtomis „Discord“ funkcijomis, skirtomis normaliam naudojimui. „Discord“ platforma yra komunikacijos paslauga, apimanti balso ir vaizdo pokalbius, taip pat organizuotus serverius ir kanalus ar kambarius, naudojamus teksto pokalbiams. „Discord“ taip pat turi savo saugyklos serverius ir leidžia vartotojams pridėti failus pokalbiuose ir kanaluose, o šie failai priglobiami naudojant „Discord“ turinio pristatymo tinklą arba CDN.
Būtent šią paslaugos sudedamąją dalį blogi veikėjai aktyviai naudojo saugodami ir platindami kenkėjiškas programas. „RiskIQ“ tyrimų grupė suskaičiavo net 27 skirtingas kenkėjiškų programų šeimas, pristatomas per „Discord“ CDN. Kenkėjiški failai, saugomi „Discord CDN“, yra vykdomieji failai, DLL ir įvairūs dokumentų ir archyvų failai.
Tyrimo grupės ištirtos atrankos metu buvo platinami kenkėjiškų failų tipai, įskaitant Trojos arklius, užpakalines duris ir slaptažodžių vagystes.
Išnagrinėti šį klausimą iš esmės paskatino didėjantis „Discord“ populiarumas. Nors paslauga iš esmės buvo sukurta kaip „Teamspeak“ alternatyva ir dažniausiai buvo balso pokalbių paslauga žaidėjams, ji nuo pat įkūrimo labai pasikeitė ir dabar ja naudojasi daugiau nei 350 milijonų žmonių visame pasaulyje.
Į šį vartotojų ratą taip pat įeina įmonės ir organizacijos, pasirinkusios „Discord“ naudoti kaip „vidinę“ komunikacijos priemonę. Tai reiškia, kad šios sistemos taip pat gali būti veikiamos šios kenkėjiškos programos. Nors namų vartotojui padaryta žala gali būti ne dramatiška ar reikšminga, tačiau didžiojoje schemoje slaptažodžio pavogėjas, nusileidęs į tinklo mašiną organizacijoje, turi daug didesnį poveikį saugumui. Kaip savo pranešime pabrėžė „RiskIQ“, grėsmės veikėjų tendencija naudoti teisėtas CDN ar debesų prieglobos paslaugas savo kenkėjiškoms programoms saugoti ir platinti yra nuolatinė problema, kurioje nėra jokių sulėtėjimo požymių.
