מחקר של חברת סופוס מדווח שפושעי סייבר עושים שימוש גובר בפלטפורמת הצ'ט הפופולרית דיסקורד כדי להפיץ ולשלוט בתוכנות זדוניות המכוונות למשתמשים בשירות, כך עולה ממחקר חדש של מובילת אבטחת הדור הבא סופוס – Malware Increasingly Targets Discord For Abuse.
על פי חוקרי אבטחה של סופוס, תוכנות זדוניות מתמקדות יותר ויותר בפלטפורמת הצ'אט דיסקורד והשימוש לרעה בה צמח בהיקפים גדולים בשנה האחרונה. איומי הסייבר שנחשפו על ידי חוקרי סופוס כוללים תוכנות זדוניות לגניבת מידע, תוכנות ריגול, דלתות אחוריות ותוכנות כופר שהתעוררו לתחייה כ- mischiefware, המונעות מהקורבן גישה למידע שלו.
הממצאים מבוססים על ניתוח שביצעו חוקרי סופוס ביותר מ-1,800 קבצים זדוניים שזוהו על ידי סופוס ברשת ניהול התוכן (CDN) של דיסקורד. בין היתר, חושף המחקר כי מספר כתובות ה-URL המארחות תוכנות זדוניות ברשת של דיסקורד זינק ברבעון השני של 2021 ב-140% בהשוואה לתקופה המקבילה בשנת 2020.
לדברי שון גלאגר, חוקר איומים בכיר בסופוס, "דיסקורד מספקת רשת הפצה עולמית, קבועה וזמינה עבור מפעילי תוכנות זדוניות. במקביל, היא גם משמשת עבור העבריינים כמערכת העברת הודעות שניתן לשלב בערוצי השליטה והבקרה של התוכנות הזדוניות שלהם – באותה דרך שבה תוקפים עושים שימוש בשירותים כמו טלגרם. בסיס המשתמשים העצום של דיסקורד מספק גם סביבה אידיאלית לגניבת מידע אישי והרשאות גישה שונות באמצעות שיטות של הנדסה חברתית.
שון גלאגר, תמונה - Sophos
"מצאנו תוכנה זדונית שיכולה לגנוב תמונות פרטיות מהמצלמה במכשיר נגוע, כמו גם תוכנות כופר מ-2006 שהתוקפים הקימו אותן לתחייה כדי למנוע מהקורבן גישה למידע שלו. אולם לא מצאנו דרישות כופר או מפתחות פענוח" אומר גלאגר.
"בנוסף, פושעי סייבר הבינו כי חברות משתמשות יותר ויותר בפלטפורמת דיסקורד לצרכי תקשורת פנימית או בשימוש של קהילות, ממש כפי שהן משתמשות בערוצים כמו סלאק, מה שלמעשה מספק לתוקפים קהל יעד חדש ומשתלם, במיוחד כאשר צוותי אבטחה לא תמיד יכולים לבדוק את התעבורה המוצפנת אל דיסקורד וממנה כדי לראות מה קורה ולהתריע במידת הצורך".
"משתמשי דיסקורד, ולא משנה מי הם או מהי הסיבה שהם משתמשים בפלטפורמה, צריכים להיות עירניים לאפשרות של תוכן זדוני האורב שם, ומוטב שלא יסתמכו על הפלטפורמה בכל הקשור לזיהוי והסרה של קבצים חשודים. בנוסף, מוטב לצוותי אבטחת IT שלא יתייחסו לתעבורה בשירותי ענן מקוונים כבטוחה, רק בשל האופי המהימן או הלגיטימיות של השירות עצמו. יריבים יכולים להסתתר בכל מקום", אומר גלאגר.
מחקר התוכן זדוני בדיסקורד מצא את הדברים הבאים:
תוכנות זדוניות לרוב מסתוות ככלים וכצ'יטים הקשורים למשחק. צ'יטים נפוצים שנצפו על ידי חוקרי סופוס כוללים מודיפיקציות המאפשרות לשחקנים להשבית יריב או לקבל גישה לתכונות פרימיום בחינם – בדרך כלל במשחקים פופולריים כמוMinecraft, Fortnite ו-GTA. בנוסף, איתרו החוקרים מצאו גם אופציה זדונית שהוצעה לגיימרים לבדוק משחק בבטא.
תוכנות גונבות מידע הן האיום הנפוץ ביותר, המהווה יותר מ-35% מהתוכנות הזדוניות שנצפו. יותר מ-10% מהתוכנות הזדוניות שסופוס זיהתה בדיסקורד שייכות למשפחת Bladabindi- משפחה של דלתות אחוריות גונבות מידע. חוקרי סופוס מצאו כמה תוכנות זדוניות שחוטפות סיסמאות, כולל לוגרים של אסימון אבטחה שנבנה במיוחד כדי לגנוב חשבונות דיסקורד. במקרה אחר, החוקרים מצאו גרסה שונה של מתקין מיינקראפט שמתקין מוד בשם Saint .Saint היא למעשה תוכנת ריגול, המסוגלת ללכוד הקשות ותמונות מסך כמו גם תמונות ישירות מהמצלמה במכשיר נגוע.
חוקרי סופוס מצאו גם תוכנות כופר לשימוש חוזר, דלתות אחוריות, חבילות זדוניות של אנדרואיד ועוד. הקבצים כללו מספר סוגים של תוכנות כופר ל- Windowsהמופצות על ידי תוקפים החוסמים גישה לנתונים אך אינם דורשים כופר ולא מציעים לקורבן מפתח פענוח תמורת תשלום.
התוכנות הזדוניות של אנדרואיד כללו דלתות אחוריות, דרופרים ותוכנות זדוניות פיננסיות שנועדו לגנוב גישה לחשבונות בנק מקוונים ולקבל גישה למטבעות קריפטו. חוקרי סופוס הבחינו גם כי קובץ המפורסם כ- multitool for FortNiteהטעין דלת אחורית של Meterpreter ומצא עותקים רבים של גונבה זדונית הנמצאת בשימוש נרחב והמכונה Agent Tesla, אשר אחרי הצבתה מאפשרת גישה מרחוק למחשב הקורבן ופלטפורמה להעברת תוכנות זדוניות אחרות.
ברמה הטכנית, החוקרים מצאו כמה תוכנות זדוניות המשתמשות בצ'אט בוטים של ממשק תכנות היישומים (API) של דיסקורד, כדי לתקשר באופן סמוי עם שרת הפיקוד שלהם ולקבל ממנו הוראות הפעלה. הם גם חשפו קבצים הקשורים להתקנתן של גרסאות לא תקינות של תוכנות מסחריות פופולריות, כגון Adobe Photoshop, וכלים שכביכול מאפשרים למשתמש גישה לתכונות בתשלום של Discord Nitro, גירסת הפרימיום של הפלטפורמה.
איך נישאר בטוחים בדיסקורד
סופוס ממליץ לארגונים המשתמשים בדיסקורד לצרכי תקשורת פנימית במקום העבודה להשתמש באימות רב גורמים (MFA) כדי להגן על חשבונות הדיסקורד של העובדים ולהבטיח שלכל העובדים תהיה הגנה עדכנית מפני תוכנות זדוניות בכל מחשב בו הם משתמשים כדי לגשת לפלטפורמות תקשורת ושיתוף פעולה מרוחקות.
Sophos Intercept X מגן על משתמשים עסקיים באמצעות איתור פעולות והתנהגויות של תוכנות זדוניות, ואילו Sophos Firewall בודק תעבורת TLS מוצפנת – המשמשת היום לתקשורת במחצית מכל התוכנות הזדוניות. סופוס ממליצה לצרכנים להתקין פתרון אבטחה כדוגמת Sophos Home על מכשירים שנעשה בהם שימוש לצרכי תקשורת ומשחקים מקוונים,
