Skip to main content

Discord og Slack på vej til at blive arnesteder for malware

Lock
(Foto: Shutterstock)

Flere populære online-samarbejdsværktøjer, herunder Slack og Discord, bliver kapret af hackere for at udbrede malware, har eksperter advaret om. 

En ny rapport fra Ciscos Talos cybersikkerhedsteam viser, at Content Delivery Networks (CDN)-metoderne, som mange instant messaging-platforme bruger til at sørge for problemfri fildeling, er kernen i kriminelles forkærlighed til disse chatapps. 

CDN'er giver brugerne mulighed for at gemme filer på app-servere, og er ofte hardcoded, hvilket gør dem tilgængelige i og udenfor appen. Uploading af komprimerede filer over krypteret HTTPS gør detektering ekstremt vanskelig, mens brugere har en tendens til at være mindre forsigtige, når de modtager filer fra et kendt og betroet miljø.

For cyberkriminelle ledsages de målrettede værktøjer designet til at gøre kommunikationen mere problemfri, med 'frynsegoder', eftersom disse gør det lettere at sprede malware og ransomware. Udover at sprede vira bruger de kriminelle også disse platforme til at lokke følsomme data ud af ofrene. 

Metoden er blevet så populær, at Talos i et blogindlæg hævder, at en simpel søgning efter prøver, der når ud til Discord CDN, resulterede i næsten 20.000 prøver i VirusTotal. 

"Denne teknik blev ofte brugt på tværs af malwarefordelings-indsatser forbundet med RAT'er og andre typer malware, der typisk blev brugt til at hente følsomme oplysninger fra inficerede systemer," forklarede holdet i blogindlægget.

Data-udtrækninger og notifikationer

Når det kommer til data-udtrækning, har f.eks. Discord API vist sig at være et ret effektivt værktøj, idet webhook-funktionaliteten (oprindeligt beregnet til automatiske alarmer) oprindeligt var designet til at være i stand til at sende enhver form for information, og malware bruger det ofte til at sikre, at stjålne data når deres mål. 

”Webhooks er i primært en URL, som en klient kan sende en besked til, som igen sender denne meddelelse til den angivne kanal - alt sammen uden at bruge den egentlige Discord-applikation,” siger forskerne. "Discord-domænet hjælper hackere med at skjule udtrækning af data ved at få det til at ligne enhver anden form for trafik, der foregår over netværket." 

De kriminelle bruger f.eks. Webhooks til at blive underrettet om et nyinficeret system. Da instant messaging-apps vokser i popularitet, vil truslerne vokse i takt med dem. Virksomheder skal være opmærksomme på risiciene og nøje vælge, hvilken platform de skal bruge, konkluderer forskerne. 

"Efterhånden som flere applikationer bliver tilgængelige, og nogle stiger og falder i popularitet, åbnes der kontinuerligt nye ruter for cyberkriminelle."