Discord og Slack er i ferd med å bli et arnested for skadevare

Cybersikkerhet
(Foto: Shutterstock)

Flere nettbaserte samarbeidsverktøy, inkludert Slack og Discord, har blitt kapret av hackere, og brukes nå til å distribuere skadevare, advarer eksperter.

En ny forskningsrapport ført i pennen av Ciscos cybersikkerhetsteam, Talos, har funnet beviser for at CDN (Content Delivery Network)-serverne mange direktemeldingsprogrammer bruker for eksempelvis til å tilby sømløs deling av filer, er en viktig årsak til hvorfor mange kriminelle nå har lagt sin elsk på disse chatteprogrammene.

CDN-systemer lar brukere lagre filer på applikasjonenes servere, og siden bedrifter gjerne tillater all trafikk knyttet til disse programmene er det en smal sak å snike inn filer som ikke skal befinne seg på det interne bedriftsnettet. Siden filene i praksis befinner seg på CDN-serverne er de tilgjengelige både gjennom appene og via den faktiske URL-en til filene, og siden man laster opp filer over krypterte protokoller som HTTPS er det vanskelig å oppdage snusket; mens brukerne, på sin side, gjerne er naive og lite forsiktige med lenker og filer innad i kjente omgivelser.

Kommunikasjonsverktøyene som hackerne tar i bruk har med andre ord en del fordeler som gjør kommunikasjon mer sømløs, hvilket kriminelle kan utnytte i distribusjonen av eksempelvis skadevare og løsepengervirus – hvilket har gjort disse programmene svært populære blant hackere. I tillegg til distribusjon brukes disse plattformene også til botnett og å lure sensitiv data ut av brukere.

Metoden har blitt såpass populær at Talos hevder at et enkelt søk etter eksempler som bruker Discord-CDN-systemet resulterte i nesten 20 000 treff i VirusTotal.

«Denne teknikken ble ofte brukt i skadevare-distribusjonskampanjer assosiert med RAT [fjernstyringsprogrammer, jour.anm.], stealers [programmer som innhenter informasjon, jour.anm.] og andre typer skadevare som typisk henter sensitiv informasjon fra infiserte systemer», forklarer teamet i blogginnlegget.

Datatyveri og varsler

Når det gjelder ulovlig forflytning av data har blant annet Discord API-et vist seg å være et svært effektivt verktøy. Webhook-funksjonaliteten (som opprinnelig ble laget for å sende ut automatiserte varsler) er laget på en måte at det kan sende ut all slags type informasjon, og skadevare bruker ofte dette systemet for å forsikre seg om at stjålet data ender opp på et spesifikt designert sted.

«Webhooks er i brunn og grunn en URL som en klient kan sende en beskjed til, og som deretter legger ut den beskjeden i en spesifikk kanal – dette skjer uten at man bruker den faktiske Discord-programvaren», sier forskerne. «Discord-domenet hjelper angripere med å maskere datatyveri ved å få aktiviteten til å se ut som en hvilken som helst annen trafikk på nettverket.»

Webhooks blir også brukt til å sende ut varsler om at et system nettopp har blitt infisert.

Nå som direktemeldingsprogrammer vokser i popularitet vil de tilknyttede truslene også øke. Bedrifter må være klar over risikoene, og ha tunga rett i munnen når man velger hvilken plattform man skal bruke, konkluderer forskerne.

«Ettersom flere applikasjoner blir tilgjengelige for bruk, og programmer fluktuerer i popularitet, vil nye muligheter kontinuerlig åpne seg for motparter.»

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.