L’abuso di Discord è aumentato enormemente in popolarità dallo scorso anno, affermano i ricercatori di Sophos. La piattaforma di chat viene utilizzata per ospitare, diffondere e controllare il malware.
Non c’è da meravigliarsi se i social network popolari si trovano immediatamente molto richiesti anche dai criminali informatici. Ad esempio, le app di chat crittografate, come Telegram, Signal e Whatsapp, sono state fondamentali per smantellare regimi autoritari e organizzare rivolte. Tuttavia, a causa della loro natura privata, i criminali informatici li sfruttano per vendere beni illegali .
La storia di Discord è in qualche modo simile. Essendo uno spazio aperto e gratuito per le persone affini, in particolare i giocatori, funziona anche da capsula di Petri per crescere e favorire il malware.
“Discord fornisce una rete di distribuzione globale persistente, ad alta disponibilità per gli operatori di malware, nonché un sistema di messaggistica che questi operatori possono adattare in canali di comando e controllo per il loro malware, più o meno allo stesso modo in cui gli aggressori hanno utilizzato Internet Relay Chat e Telegram. La vasta base di utenti di Discord fornisce anche un ambiente ideale per rubare informazioni personali e credenziali attraverso l’ingegneria sociale“, ha affermato Sean Gallagher, ricercatore senior di Sophos.
I ricercatori hanno trovato malware in grado di rubare immagini private dalla fotocamera su un dispositivo infetto e ransomware del 2006 che gli aggressori hanno resuscitato per utilizzare come malware. Il malware nega alle vittime l’accesso ai propri dati, ma non c’è richiesta di riscatto e nessuna chiave di decrittazione.
Il team investigativo di Sophos ha esaminato i contenuti dannosi collegati a Discord e ha riscontrato quanto segue:
1. Il malware è spesso mascherato da strumenti e trucchi relativi ai giochi I trucchi comuni includono modifiche che consentono ai giocatori di disabilitare un avversario o di accedere a funzionalità premium gratuitamente, di solito per giochi online popolari come Minecraft, Fortnite, Roblox e Grand Theft Auto. I ricercatori hanno anche scoperto un’esca che offriva ai giocatori la possibilità di testare un gioco in fase di sviluppo.
2. I ladri di informazioni sono la minaccia più diffusa, rappresentando oltre il 35% del malware rilevato. Oltre il 10% del malware appartiene alla famiglia di backdoor Bladabindi per il furto di informazioni. I ricercatori di Sophos hanno scoperto diversi malware per il dirottamento delle password, inclusi i logger di token di sicurezza Discord creati appositamente per rubare gli account Discord.
In un altro caso, i ricercatori hanno trovato una versione modificata di un programma di installazione di Minecraft che, oltre a fornire il gioco, installa una mod chiamata “Saint”. Saint è, infatti, uno spyware, in grado di catturare sequenze di tasti e screenshot nonché immagini direttamente dalla fotocamera di un dispositivo infetto.
3. I ricercatori hanno anche trovato ransomware riproposti, backdoor, pacchetti malware Android e altro ancora. I file analizzati includevano diversi tipi di ransomware Windows diffusi da aggressori che bloccano l’accesso ai dati senza richiedere un riscatto o offrono alle vittime la possibilità di ottenere una chiave di decrittazione.
“Gli avversari hanno capito che le aziende utilizzano sempre più la piattaforma Discord per le chat interne o della community nello stesso modo in cui potrebbero utilizzare un canale come Slack. Ciò fornisce agli aggressori un pubblico di destinazione nuovo e potenzialmente redditizio, specialmente quando i team di sicurezza non possono sempre ispezionare il traffico crittografato con Transport Layer Security (TLS) da e verso Discord per vedere cosa sta succedendo e lanciare l’allarme se necessario “, ha affermato Gallagher. .
Ha raccomandato agli utenti di Discord non solo di lasciare alla piattaforma il compito di identificare e rimuovere i collegamenti sospetti, ma di prestare invece attenzione alla minaccia di contenuti dannosi.
