Malware visa cada vez mais o Discord para violações

Malware visa cada vez mais o Discord para violações

Andrew Brandt, pesquisador principal da SophosLabs e Sean Gallagher, pesquisador sênior de ameaças da Sophos, nos diz que os criminosos abusam de um serviço de bate-papo para hospedar, espalhar e controlar malware direcionado a seus usuários

Os agentes de ameaças que espalham e gerenciam malware há muito tempo abusam de serviços online legítimos. Conforme descobrimos durante nossa investigação sobre o uso de TLS por malware, mais da metade do tráfego de rede gerado por malware usa criptografia TLS e 20% disso envolveu a comunicação de malware com serviços online legítimos.

Durante o período dessa pesquisa, descobrimos que 4% de todos os downloads de malware protegidos por TLS vieram de um serviço em particular: Discord. A crescente popularidade da plataforma de chat de texto e voz centrada em jogos não deixou de chamar a atenção dos operadores de malware.

O Discord opera sua própria rede de distribuição de conteúdo, ou CDN, onde os usuários podem fazer upload de arquivos para compartilhar com outras pessoas. O serviço também publica uma API, permitindo que os desenvolvedores criem novas maneiras de interagir com o Discord, além de seu aplicativo cliente. Observamos volumes significativos de malware hospedado no próprio CDN do Discord, bem como malware interagindo com APIs do Discord para enviar e receber dados.

Várias famílias de malware de senha têm como alvo especificamente contas Discord. A SophosLabs também encontrou malware que aproveitou APIs de bot de bate-papo do Discord para comando e controle ou para exfiltrar informações roubadas em servidores ou canais privados do Discord.

Como as origens do serviço estavam ligadas aos jogos online, o público do Discord inclui um grande número de jogadores – incluindo jogos voltados para jovens, como Fortnite, Minecraft ou Roblox. Entre os arquivos maliciosos que descobrimos na rede do Discord, encontramos ferramentas de trapaça para jogos que se integram ao Discord no jogo. As ferramentas supostamente tornam possível, explorando as fraquezas nos protocolos do Discord, para um jogador travar o jogo de outro jogador. Também encontramos aplicativos que funcionam como nada mais do que pegadinhas inofensivas, embora perturbadoras.

Mas a maior porcentagem do malware que encontramos concentra-se em roubo de credenciais e informações pessoais, em uma ampla variedade de malware de ladrão, bem como em RATs mais versáteis. Os atores da ameaça por trás dessas operações empregaram engenharia social para espalhar malware de roubo de credenciais e, em seguida, usar as credenciais do Discord coletadas pelas vítimas para direcionar usuários adicionais do Discord.

Também encontramos várias famílias de ransomware hospedadas no Discord CDN – em grande parte as mais antigas, que podem ser usadas apenas para causar danos, já que não há mais uma maneira de pagar o resgate. Os arquivos hospedados no Discord também incluíam vários pacotes de malware para Android, desde spyware até aplicativos falsos que roubam informações financeiras ou transações.

Violação crescente de todos os tipos

As violações do Discord, como o abuso de qualquer serviço baseado na web, não é um fenômeno novo, mas está crescendo rapidamente: produtos Sophos detectados e bloqueados, apenas nos últimos dois meses, quase 140 vezes o número de detecções nos mesmos períodos em 2020. Em abril, relatamos mais de 9.500 URLs exclusivos hospedando malware no CDN do Discord para representantes do Discord.

No segundo trimestre, detectamos 17.000 URLs exclusivos no CDN do Discord apontando para malware. E isso exclui o malware não hospedado no Discord que aproveita as interfaces de aplicativos do Discord de várias maneiras. Pouco antes do momento da publicação, mais de 4.700 desses URLs, apontando para um arquivo malicioso .exe do Windows, permaneciam ativos.

Navegue por nossa
última edição

LATAM Portuguese

Veja todas as edições