Skip to main content

Discordista ja Slackista on muodostumassa haittaohjelmien pesäkkeitä

Lock
(Kuva: Shutterstock)
Audio player loading…

Muutama suosittu yhteistyö- ja kommunikointisovellus, kuten Slack ja Discord, ovat asiantuntijoiden mukaan muuttumassa haittaohjelmien levityspaikoiksi.

Ciscon Talos-kyberturvatiimin tuoreen raportin (Avaa uuteen ikkunaan) mukaan useiden viestintäsovellusten käyttämät sisällönjakeluverkot (CDN) ovat tapoja, joissa tiedostoja voi jakaa saumattomasti ja joista on muodostumassa rikollisten uusi keino saastuttaa pahaa aavistamattomia käyttäjiä.

Sisällönjakeluverkot antavat käyttäjilleen mahdollisuuden ladata tiedostoja sovelluksen servereille, jossa ne on käytettävissä niin sovelluksen sisä- kuin ulkopuolelta. Pakattujen tiedostojen lataaminen suojatun HTTPS:n kautta tekee niiden havainnoimisesta äärimmäisen haastavaa, kun taas näitä palveluja käyttävät käyttäjät mieltävät sieltä saadun sisällön olevan turvallista.

Samat rikollisten hyödyntämät työkalut auttavat tekemään kommunikoinnista vaivattomampaa, mutta niiden kautta voidaan levittää myös haitta- ja kiristysohjelmia. Tämän ovat huomanneet myös rikolliset. Jakelun lisäksi näitä palveluja hyödynnetään myös hallinnoimiseen sekä käyttäjien henkilökohtaisten tietojen varastamiseen.

Tavasta on muodostunut Talosin mukaan niin yleinen, että yksinkertaisella haulla yhtiö pystyi löytämään Discordin sisällönjakeluverkosta yli 20 000 esimerkkitapausta VirusTotalilla.

"Tätä tekniikkaa on usein käytetty monissa haittaohjelmien jakelukampanjoissa, joita on hyödynnetty RAT:n, kaappaajien ja muiden haittaohjelmien avulla saadakseen käyttäjän henkilökohtaisia tietoja haltuun", tiimi kertoo blogimerkinnässään.

Datankaappaus ja huomautukset

Datan keräämisessä Discordin ohjelmointirajapinta on osoittautunut äärimmäisen tehokkaaksi työkaluksi. Automaattisiin varoituksiin suunniteltu webhook-toiminnallisuus luotiin lähettämään minkälaista informaatiota tahansa, ja haittaohjelmat käyttävät sitä saadakseen varastetun datan haluamaansa määränpäähän.

"Webhookit ovat käytännössä URL-osoitteita, johon käyttäjä voi lähettää viestin ja joka sen jälkeen lähetetään eteenpäin tietylle kanavalle — ilman tarvetta oikealle Discord-sovellukselle", tutkija sanoo. "Discord-osoite auttaa hyökkääjää piilottamaan varastetun datan näyttämään muulta vastaavalta liikenteeltä verkossa."

He käyttävät webhookia esimerkiksi ilmoittamaan saastuneesta laitteesta.

Kun viestintäohjelmista tulee entistä suositumpia, myös niiden sisällä kytkevät vaarat korostuvat. Yritysten täytyy tietää riskit ja valita huolella ne palvelut, joita he aikovat käyttää, tutkijat lisäävät.

"Kun yhä useampi sovellus saapuu käytettäväksi ja osa nousee muita suositummaksi, hyökkääjät saavat käyttöönsä uusia väyliä haittaohjelmilleen."

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.