Andrew Brandt, investigador principal de SophosLabs, y Sean Gallagher, investigador sénior de amenazas en Sophos, nos dicen que los ciberdelincuentes abusan de un servicio de chat exitoso para alojar, difundir y controlar el malware dirigido a sus usuarios.
Los actores de amenazas que propagan y administran malware llevan mucho tiempo abusando de los servicios en línea legítimos. Como descubrimos durante nuestra investigación sobre el uso de TLS por parte del malware, más de la mitad del tráfico de red generado por el malware usa cifrado TLS y el 20% de eso involucró al malware que se comunica con servicios legítimos en línea.
Durante el período de tiempo de esa investigación, descubrimos que el 4% de las descargas de malware protegidas por TLS en general provenían de un servicio en particular: Discord. La creciente popularidad de la plataforma de chat de voz y texto centrada en el juego no ha dejado de llamar la atención de los operadores de malware.
Discord opera su propia red de entrega de contenido, o CDN, donde los usuarios pueden cargar archivos para compartir con otros. El servicio también publica una API, lo que permite a los desarrolladores crear nuevas formas de interactuar con Discord que no sean a través de su aplicación cliente. Observamos volúmenes significativos de malware alojado en la propia CDN de Discord, así como malware que interactúa con las API de Discord para enviar y recibir datos.
Varias familias de malware que secuestran contraseñas se dirigen específicamente a las cuentas de Discord. SophosLabs también encontró malware que aprovechó las API de bots de chat de Discord para comando y control, o para exfiltrar información robada en servidores o canales privados de Discord.
Como los orígenes del servicio estaban vinculados a los juegos en línea, la audiencia de Discord incluye una gran cantidad de jugadores, incluidos jugadores de títulos orientados a la juventud como Fortnite, Minecraft o Roblox. Entre los archivos maliciosos que descubrimos en la red de Discord, encontramos herramientas de trampa de juegos que apuntan a juegos que se integran con Discord, en el juego. Las herramientas supuestamente hacen posible, aprovechando las debilidades en los protocolos de Discord, que un jugador bloquee el juego de otro jugador. También encontramos aplicaciones que no sirven más que como bromas inofensivas, aunque disruptivas.
Pero el mayor porcentaje del malware que encontramos se centra en el robo de credenciales e información personal, una amplia variedad de malware de ladrones y RAT más versátiles. Los actores de amenazas detrás de estas operaciones emplearon ingeniería social para difundir malware de robo de credenciales, luego usaron las credenciales de Discord recolectadas por las víctimas para apuntar a usuarios adicionales de Discord.
También encontramos varias familias de ransomware alojadas en Discord CDN, en su mayoría más antiguas, utilizables solo para causar daño, ya que ya no hay forma de pagar el rescate. Los archivos alojados en Discord también incluían varios paquetes de malware de Android, que van desde software espía hasta aplicaciones falsas que roban información financiera o transacciones.
Crecientes abusos de todo tipo
El abuso de Discord, como el abuso de cualquier servicio basado en la web, no es un fenómeno nuevo, pero está en rápido crecimiento: los productos de Sophos se detectaron y bloquearon, solo en los últimos dos meses, casi 140 veces el número de detecciones en el mismo período en 2020. En abril, informamos sobre 9,500 URL únicas que hospedan malware en el CDN de Discord a los representantes de Discord.
En el segundo trimestre, detectamos 17.000 URL únicas en la CDN de Discord que apuntaban a malware. Y esto excluye el malware no alojado en Discord que aprovecha las interfaces de la aplicación de Discord de varias maneras. Justo antes del momento de la publicación, más de 4700 de esas URL, que apuntaban a un archivo .exe malicioso de Windows, permanecían activas.