Naquela que é a mais recente evolução dos agentes de ameaças que abusam de infraestruturas legítimas para fins nefastos, novas descobertas mostram que grupos de hackers nacionais entraram na briga para aproveitar a plataforma social para atingir infraestruturas críticas.
O Discord, nos últimos anos, tornou-se um alvo lucrativo, agindo como um terreno fértil para hospedar malware usando sua rede de entrega de conteúdo (CDN), além de permitir que ladrões de informações desviem dados confidenciais do aplicativo e facilitam a exfiltração de dados por meio de webhooks.
“O uso do Discord é amplamente limitado a ladrões e sequestradores de informações que qualquer um pode comprar ou baixar da Internet”, disseram os pesquisadores da Trellix, Ernesto Fernández Provecho e David Pastor Sanz, em um relatório de segunda-feira.
Mas isso pode estar a mudar, pois a empresa de segurança cibernética afirmou ter encontrado provas de um artefacto que visava infra-estruturas críticas ucranianas. Atualmente não há evidências que o liguem a um grupo de ameaça conhecido.
“”O potencial surgimento de campanhas de malware APT que exploram as funcionalidades do Discord introduz uma nova camada de complexidade ao cenário de ameaças”, observaram os pesquisadores.
O exemplo é um arquivo do Microsoft OneNote distribuído por meio de uma mensagem de e-mail representando a organização sem fins lucrativos dobro.ua.
O arquivo, uma vez aberto, contém referências a soldados ucranianos para enganar os destinatários para que doem clicando em um botão com armadilha, resultando na execução de Visual Basic Script (VBS) projetado para extrair e executar um script do PowerShell para baixar outro PowerShell script de um repositório GitHub.
Por sua vez, na fase final, o PowerShell aproveita um webhook Discord para exfiltrar metadados do sistema.
“O fato de o único objetivo da carga final ser obter informações sobre o sistema indica que a campanha ainda está em um estágio inicial, o que também se enquadra no uso do Discord como [comando e controle]”, disseram os pesquisadores.
“No entanto, é importante destacar que o ator poderia entregar um malware mais sofisticado aos sistemas comprometidos no futuro, modificando o arquivo armazenado no repositório GitHub.”
A análise da Trellix revelou ainda que carregadores como SmokeLoader, PrivateLoader e GuLoader estão entre as famílias de malware mais prevalentes que utilizam o CDN do Discord para baixar uma carga útil de próximo estágio, incluindo ladrões como RedLine, Vidar, Agent Tesla e Umbral.
Além disso, algumas das famílias de malware comuns observadas usando webhooks Discord são Mercurial Grabber, Stealerium, Typhon Stealer e Venom RAT.
“O abuso do CDN do Discord como mecanismo de distribuição para cargas adicionais de malware mostra a adaptabilidade dos cibercriminosos para explorar aplicativos colaborativos para seu ganho”, disseram os pesquisadores.
“Os APTs são conhecidos por seus ataques sofisticados e direcionados e, ao se infiltrarem em plataformas de comunicação amplamente utilizadas, como o Discord, podem estabelecer com eficiência bases de longo prazo nas redes, colocando em risco infraestruturas críticas e dados confidenciais.”
Veja a noticia completa em: https://thehackernews.com/2023/10/discord-playground-for-nation-state.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
Grupo No Whatsapp,
App Boletim Tec 2.0 e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #discord: #um #playground #para #hackers #estatais #que #visam #infraestrutura #crítica
Postar um comentário