Hackere presser skadelig programvare ved å bruke Discord
Forskere som jobber med digitale sikkerhetsfirmaer RiskIQ og Check Point oppdaget uavhengig at trusselaktører har økt bruken av Discord -plattformen for å distribuere ondsinnet programvare, først og fremst trojanere med ekstern tilgang eller RAT.
Dette er ikke første gang Discords legitime funksjoner beregnet på normal bruk har blitt misbrukt av hackere. Discord -plattformen er en kommunikasjonstjeneste som inkluderer tale- og videochatt, samt organiserte servere og kanaler eller rom som brukes til tekstchat. Discord har også sine egne lagringsservere og lar brukerne legge ved filer i chatter og kanaler, og filene blir hostet ved hjelp av Discord -innholdsleveringsnettverket eller CDN.
Det er denne komponenten i tjenesten som dårlige aktører aktivt har brukt for å lagre og distribuere skadelig programvare. Forskerteamet ved RiskIQ teller hele 27 forskjellige familier av skadelig programvare som blir levert gjennom Discords CDN. Ondsinnede filer som lagres på Discord CDN inkluderer kjørbare filer, DLLer og forskjellige dokument- og arkivfiler.
Typer ondsinnede filer som ble distribuert i prøvetaket som ble undersøkt av forskerteamet, inkluderte trojanere, bakdører og passordstjeler.
Undersøkelsen av dette problemet ble i stor grad forårsaket av den økende populariteten til Discord. Selv om tjenesten i stor grad startet som et alternativ til Teamspeak og hovedsakelig var en tale-chat-tjeneste for spillere, har den utviklet seg vesentlig siden oppstarten og brukes nå av over 350 millioner mennesker over hele verden.
Denne brukergruppen inkluderer nå også selskaper og organisasjoner som har valgt å bruke Discord som sitt "interne" kommunikasjonsmedium. Dette betyr at disse systemene følgelig også er potensielt utsatt for denne skadelige programvaren. Selv om skaden for en hjemmebruker ikke er dramatisk eller betydelig, har en passordstjeler som lander på en nettverksmaskin i en organisasjon mye større konsekvenser når det gjelder sikkerhet. Som RiskIQ fremhevet i rapporten, er trenden med trusselaktører som bruker legitime CDN- eller skytjenester for å lagre og distribuere skadelig programvare et pågående problem som ikke viser tegn til å bremse.
