O Discord continua a ser um terreno fértil para atividades maliciosas de hackers e agora de grupos APT, sendo comumente usado para distribuir malware, exfiltrar dados e ser alvo de agentes de ameaças para roubar tokens de autenticação.
Um novo relatório da Trellix explica que a plataforma agora também é adotada por hackers APT (ameaça persistente avançada), que abusam do Discord para atingir infraestruturas críticas.
Apesar da escala crescente do problema nos últimos anos, o Discord não foi capaz de implementar medidas eficazes para dissuadir os cibercriminosos, resolver o problema de forma decisiva ou, pelo menos, limitá-lo.
Discord usado por malware
Os agentes de ameaças abusam do Discord de três maneiras: aproveitando sua rede de entrega de conteúdo (CDN) para distribuir malware, modificando o cliente do Discord para roubar senhas e abusando dos webhooks do Discord para roubar dados do sistema da vítima.
O CDN do Discord é normalmente usado para entregar cargas maliciosas na máquina da vítima, ajudando os operadores de malware a evitar a detecção e bloqueios de AV à medida que os arquivos são enviados do domínio confiável ‘cdn.discordapp.com’.
Buscando carga útil de um endereço Discord CDN (Trellix)
Os dados da Trellix mostram que pelo menos 10.000 amostras de malware usam Discord CDN para carregar cargas úteis de segundo estágio em sistemas, principalmente carregadores de malware e scripts de carregamento genéricos.
Carregadores aproveitando Discord CDN (Trellix)
As cargas úteis de segundo estágio obtidas por meio do CDN do Discord são principalmente RedLine stealer, Vidar, AgentTesla, zgRAT e Raccoon stealer.
Cargas descartadas por meio do sistema CDN (Trellix)
Sobre o abuso de webhooks do Discord para roubo de dados do dispositivo da vítima, Trellix afirma que as seguintes 17 famílias aplicaram a prática desde agosto de 2021:
MercurialGrabber
AgenteTesla
UmbralStealer
Roubo
Sorano
zgRAT
SectopRAT
NjRAT
Calibre44Stealer
InvictaStealer
StormKitty
TyphonStealer
DarkComet
VenomRAT
GodStealer
NanocoreRAT
GrowtopiaStealer
Essas famílias de malware coletarão credenciais, cookies de navegador, carteiras de criptomoedas e outros dados de sistemas infectados e depois os carregarão em um servidor Discord usando webhooks.
Os agentes da ameaça que controlam este servidor Discord podem então coletar os pacotes de dados roubados para uso em outros ataques.
Painel de usuário do Mercurial permitindo fácil configuração do webhook do Discord (Trellix)
Os maiores infratores em 2023 são Agent Tesla, UmbralStealer, Stealerium e zgRAT, todos os quais realizaram campanhas nos últimos meses.
Abuso de webhook do Discord (Trellix)
Da mesma forma que os motivos para abusar do CDN do Discord, os webhooks da plataforma oferecem aos cibercriminosos uma maneira furtiva de exfiltrar dados, fazendo com que o tráfego pareça inócuo para as ferramentas de monitoramento de rede.
Além disso, os webhooks são fáceis de configurar e usar com conhecimento mínimo de codificação, permitem a exfiltração em tempo real, são econômicos e têm o benefício adicional da disponibilidade e redundância da infraestrutura do Discord.
APTs aderindo ao abuso
Trellix diz agora que grupos de ameaças sofisticados estão começando a usar o Discord, especialmente aqueles que valorizam o abuso de ferramentas padrão que lhes permitem combinar suas atividades com uma infinidade de outras, tornando o rastreamento e a atribuição quase impossíveis.
Trellix diz que impedimentos como controle limitado do servidor e perda de dados devido ao risco de encerramento de conta não são mais suficientes para impedir que APTs abusem dos recursos do Discord.
Os pesquisadores destacaram um caso em que um grupo desconhecido de APT teve como alvo infraestruturas críticas na Ucrânia usando iscas de spearphishing.
Os e-mails maliciosos carregam um anexo do OneNote que finge ser de uma organização sem fins lucrativos na Ucrânia, que contém um botão incorporado que aciona a execução do código VBS quando clicado.
Arquivo malicioso do OneNote (Trellix)
O código descriptografa uma série de scripts que estabelecem comunicação com um repositório GitHub para baixar a carga útil do estágio final, que aproveita os webhooks do Discord para exfiltrar os dados das vítimas.
Código VBS codificado incorporado no arquivo (Trellix)
“O potencial surgimento de campanhas de malware APT que exploram as funcionalidades do Discord introduz uma nova camada de complexidade ao cenário de ameaças”, diz o relatório da Trellix.
“Os APTs são conhecidos por seus ataques sofisticados e direcionados e, ao se infiltrarem em plataformas de comunicação amplamente utilizadas, como o Discord, podem estabelecer com eficiência bases de longo prazo nas redes, colocando em risco infraestruturas críticas e dados confidenciais.”
Mesmo que o abuso do Discord pelo APT permaneça limitado às fases iniciais de reconhecimento do ataque, o desenvolvimento ainda é preocupante.
Infelizmente, a escala da plataforma, a troca de dados criptografados, a natureza dinâmica das ameaças cibernéticas e o fato de que os recursos abusados servem a propósitos legítimos para a maioria dos usuários tornam quase impossível para o Discord distinguir o que é ruim do que é bom.
Além disso, o banimento de contas suspeitas de comportamento malicioso não impede que agentes mal-intencionados criem novas contas e retomem as suas atividades, pelo que o problema provavelmente irá piorar no futuro.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/discord-still-a-hotbed-of-malware-activity-now-apts-join-the-fun/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #discord #ainda #é #um #foco #de #atividade #de #malware #– #agora #os #apts #se #juntam #à #diversão
Postar um comentário