• TWEAK
• Software

Discord og Slack bliver nye hotspots for malware

Flere populære såkaldte online-samarbejdsværktøjer, herunder Slack og Discord, står for skud fra hackere i kampen om at distribuere malware.

En ny rapport fra Ciscos Talos cybersikkerhedsteam fandt, at Content Delivery Networks (CDN) -metoderne, som mange instant messaging-platforme bruger til fildeling, er kernen i kriminelles nyfundne kærlighed til disse chat-apps, og flere undersøgelser synes at støtte op omkring et tilsyneladende voksende problem.

CDN'er giver brugerne mulighed for at gemme filer på apps-servere og er ofte hardcoded, hvilket gør dem tilgængelige i og uden for appen ”sikre” miljø. Upload af komprimerede filer over krypteret HTTPS gør detektering ekstremt vanskelig, mens brugere har en tendens til at være mindre forsigtige, når de modtager filer fra et kendt og betroet miljø såsom Slack og Discord.

Læste du også: Malware: 10 typer du bør kende til

De målrettede værktøjer leveres med et par ”frynsegoder”, der er designet til at gøre kommunikationen mere gnidningsfrie, og beklageligt åbne for, at cyberkriminelle kan udnytte disse for at distribuere malware og ransomware lettere. Ud over distribution bruger de også disse platforme til ”command and control”, samt til at exfiltrere følsomme data fra ofrene. Og denne form for cocktail for eksterperne frem i stolesædet.

Metoden er blevet så populær, at Talos hævder, at en simpel søgning efter samples (scripts), der når gennem sikkerheden hos blandt andet Discord CDN, resulterede i næsten 20.000 samples i VirusTotal, da Talos gennemgik resultaterne.

“This technique was frequently used across malware distribution campaigns associated with RATs, stealers and other types of malware typically used to retrieve sensitive information from infected systems,”, forklarede holdet i blogindlægget.

Dataeksfiltrering og underretning

Når det kommer til dataeksfiltrering, har Discords API for eksempel vist sig at være et ret effektivt værktøj. Da den integrerede webhook-funktionalitet (oprindeligt beregnet til at sende automatiske alerts) blev ændret til at være i stand til at sende enhver form for information, og malware ofte selvsamme til at sikre, at stjålne data når deres mål, er opskriften tilsyneladende ret ligetil.

Læste du også: 64 nye varianter af malware invaderer android

“Webhooks are essentially a URL that a client can send a message to, which in turn posts that message to the specified channel — all without using the actual Discord application,” the researchers say. “The Discord domain helps attackers disguise the exfiltration of data by making it look like any other traffic coming across the network.”

Da instant messaging-apps vokser i popularitet, vil truslerne vokse sideløbende. Virksomheder skal være opmærksomme på risiciene og nøje vælge, hvilken platform de skal bruge, konkluderede forskerne.

“As more applications become available and some rise and fall in popularity, new avenues will continually be opened for adversaries.”

Læs hele rapporten

 

Source & Image credit:

 Cisco