TECNOLOGIAS INTELIGENTES // Segurança Empresarial
Malware visa cada vez mais o Discord para violações
Andrew Brandt , pesquisador principal da SophosLabs e Sean Gallagher , pesquisador sênior de ameaças da Sophos , nos diz que os criminosos abusam de um serviço de bate-papo para hospedar , espalhar e controlar malware direcionado a seus usuários
Os agentes de ameaças que espalham e gerenciam malware há muito tempo abusam de serviços online legítimos . Conforme descobrimos durante nossa investigação sobre o uso de TLS por malware , mais da metade do tráfego de rede gerado por malware usa criptografia TLS e 20 % disso envolveu a comunicação de malware com serviços online legítimos .
Durante o período dessa pesquisa , descobrimos que 4 % de todos os downloads de malware protegidos por TLS vieram de um serviço em particular : Discord . A crescente popularidade da plataforma de chat de texto e voz centrada em jogos não deixou de chamar a atenção dos operadores de malware .
O Discord opera sua própria rede de distribuição de conteúdo , ou CDN , onde os usuários podem fazer upload de arquivos para compartilhar com outras pessoas . O serviço também publica uma API , permitindo que os desenvolvedores criem novas maneiras de interagir com o Discord , além de seu aplicativo cliente . Observamos volumes significativos de malware hospedado no próprio CDN do Discord , bem como malware interagindo com APIs do Discord para enviar e receber dados .
Várias famílias de malware de senha têm como alvo especificamente contas Discord . A SophosLabs também encontrou malware que aproveitou APIs de bot de bate-papo do Discord para comando e controle ou para exfiltrar informações roubadas em servidores ou canais privados do Discord .
Como as origens do serviço estavam ligadas aos jogos online , o público do Discord inclui um grande número de jogadores – incluindo jogos voltados para jovens , como Fortnite , Minecraft ou Roblox . Entre os arquivos maliciosos que descobrimos na rede do Discord , encontramos ferramentas de trapaça para jogos que se integram ao Discord no jogo . As ferramentas supostamente tornam possível , explorando as fraquezas nos protocolos do Discord , para um jogador travar o jogo de outro jogador . Também encontramos aplicativos que funcionam como nada mais do que pegadinhas inofensivas , embora perturbadoras .
Mas a maior porcentagem do malware que encontramos concentra-se em roubo de credenciais e informações pessoais , em uma ampla variedade de malware de ladrão , bem como em RATs mais versáteis . Os atores da ameaça por trás dessas operações empregaram engenharia social para espalhar malware de roubo de credenciais e , em seguida , usar as credenciais do Discord coletadas pelas vítimas para direcionar usuários adicionais do Discord .
Também encontramos várias famílias de ransomware hospedadas no Discord CDN – em grande parte as mais antigas , que podem ser usadas apenas para causar danos , já que não há mais uma maneira de pagar o resgate . Os arquivos hospedados no Discord também incluíam vários pacotes de malware para Android , desde spyware até aplicativos falsos que roubam informações financeiras ou transações .
Violação crescente de todos os tipos
As violações do Discord , como o abuso de qualquer serviço baseado na web , não é um fenômeno novo , mas está crescendo rapidamente : produtos Sophos detectados e bloqueados , apenas nos últimos dois meses , quase 140 vezes o número de detecções nos mesmos períodos em 2020 . Em abril , relatamos mais de 9.500 URLs exclusivos hospedando malware no CDN do Discord para representantes do Discord .
No segundo trimestre , detectamos 17.000 URLs exclusivos no CDN do Discord apontando para malware . E isso exclui o malware não hospedado no Discord que aproveita as interfaces de aplicativos do Discord de várias maneiras . Pouco antes do momento da publicação , mais de 4.700 desses URLs , apontando para um arquivo malicioso . exe do Windows , permaneciam ativos . p
68 INTELLIGENTCIO AMÉRICA LATINA www . intelligentcio . com / latam-pt