O Discord continua sendo um terreno fértil para atividades maliciosas por hackers e agora grupos APT, sendo comumente usado para distribuir malwares, exfiltrar dados e alvo de atores de ameaças para roubar tokens de autenticação.
Um novo relatório da Trellix explica que a plataforma agora é adotada por hackers APT (ameaça persistente avançada), que abusam do Discord para atingir infraestruturas críticas.
Apesar do aumento da questão nos últimos anos, o Discord não conseguiu implementar medidas eficazes para dissuadir os criminosos cibernéticos, enfrentar decididamente o problema, ou pelo menos limitá-lo.
Os atores de ameaças abusam do Discord de três maneiras: aproveitando sua rede de distribuição de conteúdo (CDN) para distribuir malwares, modificando o cliente Discord para roubar senhas e abusando dos webhooks do Discord para roubar dados do sistema da vítima.
A CDN do Discord é normalmente usada para entregar cargas maliciosas na máquina da vítima, ajudando os operadores de malwares a evadir a detecção e bloqueios de AV, uma vez que os arquivos são enviados do domínio confiável 'cdn.discordapp[.]com'.
Os dados da Trellix mostram que pelo menos 10.000 amostras de malwares usam a CDN do Discord para carregar cargas úteis de segunda fase nos sistemas, principalmente loaders de malwares e scripts genéricos de loader.
As cargas úteis de segunda fase obtidas por meio da CDN do Discord são principalmente RedLine stealer, Vidar, AgentTesla, zgRAT e Raccoon stealer.
Em relação ao abuso dos webhooks do Discord para roubo de dados do dispositivo da vítima, a Trellix diz que as seguintes 17 famílias têm aplicado a prática desde agosto de 2021:
MercurialGrabber
AgentTesla
UmbralStealer
Stealerium
Sorano
zgRAT
SectopRAT
NjRAT
Caliber44Stealer
InvictaStealer
StormKitty
TyphonStealer
DarkComet
VenomRAT
GodStealer
NanocoreRAT
GrowtopiaStealer
Essas famílias de malwares coletarão credenciais, cookies de navegador, carteiras de criptomoedas e outros dados dos sistemas infectados e, em seguida, farão upload para um servidor Discord usando webhooks.
Os atores de ameaças responsáveis por este servidor Discord podem então recolher os pacotes de dados roubados para usar em outros ataques.
Os maiores infratores para 2023 são Agent Tesla, UmbralStealer, Stealerium e zgRAT, todos os quais realizaram campanhas nos últimos meses.
Similarmente aos motivos para abusar da CDN do Discord, os webhooks da plataforma oferecem aos cibercriminosos uma forma discreta de exfiltrar dados, fazendo com que o tráfego pareça inócuo para as ferramentas de monitoramento de rede.
Além disso, os webhooks são fáceis de configurar e usar com conhecimento mínimo de codificação, permite exfiltração em tempo real, são econômicos, e têm o benefício adicional da disponibilidade e redundância da infraestrutura do Discord.
A Trellix agora diz que grupos de ameaças sofisticados estão começando a usar o Discord, especialmente aqueles que valorizam o abuso de ferramentas padrão que lhes permitem misturar suas atividades com muitas outras, tornando o rastreamento e a atribuição quase impossíveis.
A Trellix diz que dissuasões como controle limitado do servidor e risco de perda de dados do encerramento da conta não são mais suficientes para impedir que os APTs abusem dos recursos do Discord.
Os pesquisadores destacaram um caso em que um grupo APT desconhecido visou a infraestrutura crítica na Ucrânia usando iscas de spear-phishing.
Os e-mails maliciosos levam um anexo do OneNote fingindo ser de uma organização sem fins lucrativos na Ucrânia, que contém um botão embutido que aciona a execução do código VBS quando clicado.
O código descriptografa uma série de scripts que estabelecem comunicação com um repositório GitHub para baixar a carga útil final, que usa webhooks do Discord para exfiltrar dados da vítima.
"A possível emergência de campanhas de malwares APT explorando as funcionalidades do Discord introduz um novo nível de complexidade na paisagem de ameaças", lê-se no relatório da Trellix.
"Os APTs são conhecidos por seus ataques sofisticados e direcionados, e ao infiltrar plataformas de comunicação amplamente utilizadas como o Discord, eles podem eficientemente estabelecer pontos de apoio de longo prazo dentro das redes, colocando infraestruturas críticas e dados sensíveis em risco."
Mesmo se o abuso de APT do Discord se limitar às fases iniciais de reconhecimento do ataque, o desenvolvimento ainda é preocupante.
Infelizmente, a escala da plataforma, a troca de dados criptografados, a natureza dinâmica das ameaças cibernéticas, e o fato de que os recursos abusados servem para propósitos legítimos para a maioria dos usuários, torna quase impossível para o Discord distinguir o mal do bem.
Além disso, banir contas suspeitas de comportamento malicioso não impede que atores maliciosos criem novas e retomem suas atividades, então o problema provavelmente piorará no futuro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...