Skip to main content

Discordista ja Slackista on muodostumassa haittaohjelmien pesäkkeitä

Lock
(Kuva: Shutterstock)

Muutama suosittu yhteistyö- ja kommunikointisovellus, kuten Slack ja Discord, ovat asiantuntijoiden mukaan muuttumassa haittaohjelmien levityspaikoiksi.

Ciscon Talos-kyberturvatiimin tuoreen raportin mukaan useiden viestintäsovellusten käyttämät sisällönjakeluverkot (CDN) ovat tapoja, joissa tiedostoja voi jakaa saumattomasti ja joista on muodostumassa rikollisten uusi keino saastuttaa pahaa aavistamattomia käyttäjiä.

Sisällönjakeluverkot antavat käyttäjilleen mahdollisuuden ladata tiedostoja sovelluksen servereille, jossa ne on käytettävissä niin sovelluksen sisä- kuin ulkopuolelta. Pakattujen tiedostojen lataaminen suojatun HTTPS:n kautta tekee niiden havainnoimisesta äärimmäisen haastavaa, kun taas näitä palveluja käyttävät käyttäjät mieltävät sieltä saadun sisällön olevan turvallista.

Samat rikollisten hyödyntämät työkalut auttavat tekemään kommunikoinnista vaivattomampaa, mutta niiden kautta voidaan levittää myös haitta- ja kiristysohjelmia. Tämän ovat huomanneet myös rikolliset. Jakelun lisäksi näitä palveluja hyödynnetään myös hallinnoimiseen sekä käyttäjien henkilökohtaisten tietojen varastamiseen.

Tavasta on muodostunut Talosin mukaan niin yleinen, että yksinkertaisella haulla yhtiö pystyi löytämään Discordin sisällönjakeluverkosta yli 20 000 esimerkkitapausta VirusTotalilla.

"Tätä tekniikkaa on usein käytetty monissa haittaohjelmien jakelukampanjoissa, joita on hyödynnetty RAT:n, kaappaajien ja muiden haittaohjelmien avulla saadakseen käyttäjän henkilökohtaisia tietoja haltuun", tiimi kertoo blogimerkinnässään.

Datankaappaus ja huomautukset

Datan keräämisessä Discordin ohjelmointirajapinta on osoittautunut äärimmäisen tehokkaaksi työkaluksi. Automaattisiin varoituksiin suunniteltu webhook-toiminnallisuus luotiin lähettämään minkälaista informaatiota tahansa, ja haittaohjelmat käyttävät sitä saadakseen varastetun datan haluamaansa määränpäähän.

"Webhookit ovat käytännössä URL-osoitteita, johon käyttäjä voi lähettää viestin ja joka sen jälkeen lähetetään eteenpäin tietylle kanavalle — ilman tarvetta oikealle Discord-sovellukselle", tutkija sanoo. "Discord-osoite auttaa hyökkääjää piilottamaan varastetun datan näyttämään muulta vastaavalta liikenteeltä verkossa."

He käyttävät webhookia esimerkiksi ilmoittamaan saastuneesta laitteesta.

Kun viestintäohjelmista tulee entistä suositumpia, myös niiden sisällä kytkevät vaarat korostuvat. Yritysten täytyy tietää riskit ja valita huolella ne palvelut, joita he aikovat käyttää, tutkijat lisäävät.

"Kun yhä useampi sovellus saapuu käytettäväksi ja osa nousee muita suositummaksi, hyökkääjät saavat käyttöönsä uusia väyliä haittaohjelmilleen."