Skip to main content

Discord och Slack utgör en grogrund för skadeprogram

Lock
(Foto: Shutterstock)

Flera populära samarbetsverktyg, bland annat Slack och Discord, utnyttjas för att sprida skadlig kod varnar experter.

Enligt ett blogginlägg från Cisco Talos cybersäkerhetsteam så har cyberkriminella en nyfunnen kärlek för att utnyttja de Content Delivery Networks-metoder (CDN) som många meddelandeplattformar använder sig av för fildelning.

Dessa nätverk används för att lagra filer på tjänsternas servrar och är ofta hårdkodade i appen, något som gör de tillgängliga både innuti som utanför appen. Uppladdning av komprimerade filer via HTTPS gör det dessutom väldigt svårt att spåra och det i kombination med att användarna har stort förtroende för filer som kommer inifrån organisationen gör att problemet är allvarligt.

De angripna verktygen kommer med några finesser som ska underlätta kommunikationen med som cyberkriminella kan utnyttja för att sprida skadlig programvara som malware och ransomware, något de varit snabba på att dra nytta av. Utöver ren distribution så utnyttjas plattformarna även för att avlyssna känsliga uppgifter från drabbade organisationer.

Metoderna har blivit så pass populära att Talos-teamet säger att en enkel sökning i Discords CDN resulterade i nästan 20 000 resultat hos VirusTotal.

"Denna teknik var frekvent använd i distributionen utav skadeprogram som inriktar sig på att avlyssna känslig information från infekterade system" skriver teamet i sin bloggpost.

Datastöld och notiser

När det kommer till datastöld så har Discords API visat sig vara ett mycket effektivt verktyg. Med webhook-tekniken (ursprungligen tänkt för att skicka automatiska notiser) så kan dessutom den skadliga mjukvaran säkerställa att den stulna datan faktiskt når sin tänkta destination.

"Webhooks är kort sammanfattat en URL som en klient kan skicka ett meddelande till, som i sin tur skickar meddelandet till en specifik kanal, allt utan att faktiskt använda Discord-applikationen" säger teamet. "Discord-domänen hjälper även angriparna att maskera datatrafiken, så att den ser ut som vilken annan trafik som helst."

Utöver detta så används även webhooks för att notifiera angriparna om saker som exempelvis nyligen infekterade system.

I takt med att meddelandeappar och tjänster växer i popularitet så ökar även hotnivån mot tjänsterna. Slutsatsen i blogginlägget är att företag måste vara medvetna om riskerna och noga välja vilka plattformar man förlitar sig på.

"När fler applikationer blir tillgängliga, vissa ökar och andra dalar i popularitet, så kommer möjligheter att öppnas för dina motståndare."