Skip to main content

Discord og Slack er i ferd med å bli et arnested for skadevare

Cybersikkerhet
(Foto: Shutterstock)

Flere nettbaserte samarbeidsverktøy, inkludert Slack og Discord, har blitt kapret av hackere, og brukes nå til å distribuere skadevare, advarer eksperter.

En ny forskningsrapport ført i pennen av Ciscos cybersikkerhetsteam, Talos, har funnet beviser for at CDN (Content Delivery Network)-serverne mange direktemeldingsprogrammer bruker for eksempelvis til å tilby sømløs deling av filer, er en viktig årsak til hvorfor mange kriminelle nå har lagt sin elsk på disse chatteprogrammene.

CDN-systemer lar brukere lagre filer på applikasjonenes servere, og siden bedrifter gjerne tillater all trafikk knyttet til disse programmene er det en smal sak å snike inn filer som ikke skal befinne seg på det interne bedriftsnettet. Siden filene i praksis befinner seg på CDN-serverne er de tilgjengelige både gjennom appene og via den faktiske URL-en til filene, og siden man laster opp filer over krypterte protokoller som HTTPS er det vanskelig å oppdage snusket; mens brukerne, på sin side, gjerne er naive og lite forsiktige med lenker og filer innad i kjente omgivelser.

Kommunikasjonsverktøyene som hackerne tar i bruk har med andre ord en del fordeler som gjør kommunikasjon mer sømløs, hvilket kriminelle kan utnytte i distribusjonen av eksempelvis skadevare og løsepengervirus – hvilket har gjort disse programmene svært populære blant hackere. I tillegg til distribusjon brukes disse plattformene også til botnett og å lure sensitiv data ut av brukere.

Metoden har blitt såpass populær at Talos hevder at et enkelt søk etter eksempler som bruker Discord-CDN-systemet resulterte i nesten 20 000 treff i VirusTotal.

«Denne teknikken ble ofte brukt i skadevare-distribusjonskampanjer assosiert med RAT [fjernstyringsprogrammer, jour.anm.], stealers [programmer som innhenter informasjon, jour.anm.] og andre typer skadevare som typisk henter sensitiv informasjon fra infiserte systemer», forklarer teamet i blogginnlegget.

Datatyveri og varsler

Når det gjelder ulovlig forflytning av data har blant annet Discord API-et vist seg å være et svært effektivt verktøy. Webhook-funksjonaliteten (som opprinnelig ble laget for å sende ut automatiserte varsler) er laget på en måte at det kan sende ut all slags type informasjon, og skadevare bruker ofte dette systemet for å forsikre seg om at stjålet data ender opp på et spesifikt designert sted.

«Webhooks er i brunn og grunn en URL som en klient kan sende en beskjed til, og som deretter legger ut den beskjeden i en spesifikk kanal – dette skjer uten at man bruker den faktiske Discord-programvaren», sier forskerne. «Discord-domenet hjelper angripere med å maskere datatyveri ved å få aktiviteten til å se ut som en hvilken som helst annen trafikk på nettverket.»

Webhooks blir også brukt til å sende ut varsler om at et system nettopp har blitt infisert.

Nå som direktemeldingsprogrammer vokser i popularitet vil de tilknyttede truslene også øke. Bedrifter må være klar over risikoene, og ha tunga rett i munnen når man velger hvilken plattform man skal bruke, konkluderer forskerne.

«Ettersom flere applikasjoner blir tilgjengelige for bruk, og programmer fluktuerer i popularitet, vil nye muligheter kontinuerlig åpne seg for motparter.»