Hackers estão explorando links Discord e Slack para distribuir malware

Hackers estão explorando links Discord e Slack para distribuir malware. Cuidado com links de plataformas que ficaram grandes durante a quarentena.

Obrigado em parte dela pandemia global , plataformas de colaboração como Discord e Slack assumiram posições íntimas em nossas vidas, ajudando a manter laços pessoais apesar do isolamento físico. Mas seu papel cada vez mais integral também os tornou um meio poderoso para entregar malware a vítimas involuntárias – às vezes de maneiras inesperadas.

A divisão de segurança da Cisco, Talos, publicou uma nova pesquisa destacando como, ao longo da pandemia Covid-19, ferramentas de colaboração como Slack e, muito mais comumente, Discord se tornaram mecanismos úteis para cibercriminosos. Com frequência crescente, eles estão sendo usados ​​para fornecer malware às vítimas na forma de um link que parece confiável. Em outros casos, os hackers integraram o Discord ao malware para controle remoto do código executado em máquinas infectadas e até mesmo para roubar dados das vítimas.

Os pesquisadores da Cisco avisam que nenhuma das técnicas que eles encontraram realmente explora uma vulnerabilidade clara no Slack ou Discord, ou mesmo requer que o Slack ou Discord seja instalado na máquina da vítima. Em vez disso, eles simplesmente tiram proveito de alguns recursos pouco examinados dessas plataformas de colaboração,

As pessoas estão muito mais propensas a fazer coisas como clicar em um link do Discord do que antes, porque estão acostumadas a ver seus amigos e colegas postando arquivos no Discord e enviando-lhes um link“, diz o pesquisador de segurança Cisco Talos Nick Biasini. “Todo mundo está usando aplicativos de colaboração, todo mundo tem alguma familiaridade com eles e os bandidos perceberam que podem abusar deles.

Entre as técnicas de exploração de aplicativos de colaboração sobre as quais os pesquisadores da Cisco estão alertando, a mais comum usa as plataformas essencialmente como um serviço de hospedagem de arquivos. Tanto o Discord quanto o Slack permitem que os usuários façam upload de arquivos para seus servidores e criem links acessíveis externamente para esses arquivos, de forma que qualquer pessoa possa clicar no link e acessar o arquivo. Em muitos casos, descobriu a Cisco, esses arquivos são maliciosos; os pesquisadores listaram nove ferramentas espiões de acesso remoto recentes que os hackers tentaram instalar desta forma, incluindo o agente Tesla, LimeRAT e Phoenix Keylogger.

Os links não precisam ser entregues às vítimas dentro do Slack ou Discord. Eles também podem ser servidos por e-mail, onde os hackers podem muito mais facilmente rastrear as vítimas em massa, se passar por colegas da vítima e alcançar usuários com os quais eles não têm nenhuma conexão anterior. Como resultado, a Cisco registrou um grande aumento no uso desses links para entregar malware por e-mail no ano passado. “Nos últimos meses, vimos dezenas de milhares e a taxa tem aumentado constantemente”, diz Biasini. “No momento, parece estar no auge.

Além de explorar a confiança que os usuários depositam nos links do Slack e Discord, essa técnica também ofusca o malware, já que tanto o Slack quanto o Discord usam criptografia HTTPS em seus links e compactam arquivos quando são carregados. E enquanto outros métodos de hospedagem de malware podem ser colocados offline ou bloqueados quando o servidor de um hacker é descoberto, os links Slack e Discord são mais difíceis de derrubar ou bloquear o acesso dos usuários. “Os adversários provavelmente serão afetados por coisas como desligar um servidor, encerrar um domínio, colocar arquivos na lista negra”, diz Biasini. “E o que eles fizeram foi descobrir uma maneira de quebrar isso.

Além de hospedar seu malware em links Discord e Slack, os cibercriminosos também estão usando o Discord como elemento de comando e controle e roubo de dados em seu malware. O Discord permite que os programadores adicionem “webhooks” aos seus códigos que atualizam automaticamente um canal do Discord com informações de um aplicativo ou site. Portanto, os cibercriminosos exploraram essa técnica para retransmitir informações de computadores infectados de volta para o servidor de comando e controle que eles usam para administrar um botnet, ou mesmo para puxar dados da máquina da vítima de volta para o servidor. Tal como acontece com a técnica de link malicioso, o truque do webhook oculta o tráfego malicioso em comunicações Discord criptografadas e de aparência mais inocente, e torna a infraestrutura do hacker mais difícil de colocar offline. (o Slack também oferece um recurso de webhook semelhante)

Quando o WIRED entrou em contato com o Discord e o Slack, um porta-voz da Discord disse que a empresa faz uma varredura proativa de malware em arquivos hospedados em sua plataforma, remove qualquer malware hospedado que seja relatado por usuários ou pesquisadores de segurança e busca identificar grupos de usuários que estão abusando de suas ferramentas para fins cibercriminosos. Estamos trabalhando para aprimorar nossos processos para tornar mais fácil relatar esses tipos de problemas, melhorar a maneira como esses problemas são encaminhados internamente para uma triagem mais rápida e dedicar mais recursos para identificar proativamente esse tipo de abuso“, escreveu o porta-voz. O porta-voz do Slack respondeu com uma declaração apontando que, desde fevereiro, o Slack bloqueou o compartilhamento de arquivos .exe por meio de links externos e bloqueou muitos outros tipos de arquivos potencialmente perigosos no Slack Connect, que permite aos usuários enviar mensagens entre as instalações do Slack. O Slack diz que também está trabalhando em mais proteção contra malware e ferramentas de varredura de links que serão lançadas em breve.

Além de empurrar o Slack e o Discord para verificar de forma mais eficaz os arquivos em busca de sinais de malware que eles hospedam como links externos, Biasini da Cisco argumenta que as organizações devem considerar simplesmente o bloqueio de links do Discord, visto que não costuma ser usado como uma ferramenta de colaboração autorizada dentro de redes corporativas . Quanto às organizações que usam o Discord e não podem bloqueá-lo – ou usuários individuais que não têm políticas de segurança de estilo corporativo – ele diz que devem aprender a observar os links do Slack e particularmente do Discord com a mesma cautela que fazem com qualquer outro link que vem de um estranho. “É a mesma coisa de sempre: não clique em links de pessoas que você não conhece. Se você não sabe de onde veio isso, não compre. Se parece bom demais para ser verdade, provavelmente não é” diz Biasini. “Se você nunca clicou em um URL Discord antes, não comece agora.”

Fonte: Wired 

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Sophos lança XDR: única solução que sincroniza endpoint, servidor, firewall e segurança de e-mails

Deixe sua opinião!