Notícias de dispositivos móveis, gadgets, aplicativos Android

Atores de amea√ßas abusam da disc√≥rdia para se misturar ao tr√°fego de rede das organiza√ß√Ķes

Discord se tornou um nome familiar em jogos online e comunicação digital.

Jogadores, amigos e familiares migram para esta plataforma para conversar, compartilhar e colaborar. Discord √© uma das ferramentas de comunica√ß√£o mais utilizadas em todo o mundo, com milh√Ķes de usu√°rios.

No entanto, esta popularidade generalizada tamb√©m atraiu um novo p√ļblico ‚Äď atores maliciosos. O Trellix Advanced Research Center descobriu recentemente uma tend√™ncia perturbadora: os cibercriminosos exploram o Discord, transformando-o num terreno f√©rtil para as suas atividades perversas.

No passado, testemunhamos malware que abusava da infraestrutura do Discord, concentrando-se principalmente no roubo de informa√ß√Ķes e em Trojans de acesso remoto (RATs).

O cenário da segurança cibernética está passando por um momento crucial à medida que surge uma nova ameaça.

Recentemente, os pesquisadores da Trellix encontraram uma amostra destinada especificamente √† infraestrutura vital da Ucr√Ęnia.

Isso marca uma mudança significativa na atividade de Ameaças Persistentes Avançadas (APT), já que o Discord se tornou a plataforma mais recente a ser alvo.

Documento

As descobertas revelaram que v√°rias fam√≠lias de malware come√ßaram a aproveitar o Discord, com padr√Ķes claros surgindo sobre quando esse abuso come√ßou.

O enigma da discórdia

Discord é um aplicativo baseado na web que funciona em HTTP/HTTPS. Esse recurso é o que o torna atraente para atores mal-intencionados.

√Č predominante n√£o apenas em redes casuais, mas tamb√©m √© amplamente habilitado em ambientes corporativos.

Esta mistura de contextos proporciona uma camuflagem conveniente, escondendo as suas atividades dos softwares de segurança e dos investigadores.

A explora√ß√£o do Discord por software malicioso concentra-se predominantemente em duas t√©cnicas: download de arquivos adicionais e exfiltra√ß√£o de informa√ß√Ķes.

Um método preferido é através da Content Delivery Network (CDN) do Discord, permitindo que os invasores carreguem arquivos que podem ser baixados posteriormente.

N√≥s recomendamos:  Call Center, o Cadastro de Oposi√ß√£o n√£o √© suficiente para interromper liga√ß√Ķes

O modus operandi parece ser bastante simples. O perpetrador fabrica uma conta Discord para transferir o arquivo malicioso, que ent√£o compartilhar√° discretamente por meio de mensagens privadas.

Ap√≥s o upload de um arquivo, n√£o √© necess√°rio que ele se torne p√ļblico para que fique acess√≠vel. O link para o arquivo pode ser facilmente copiado e usado para baixar o ‚Äúsegundo est√°gio‚ÄĚ atrav√©s de uma simples solicita√ß√£o GET.

Webhooks do Discord: um backdoor malicioso

A exfiltra√ß√£o de dados por meio do Discord √© realizada por meio de webhooks, um recurso de automa√ß√£o que permite que invasores enviem informa√ß√Ķes e arquivos da m√°quina da v√≠tima.

Este processo envolve a criação de um webhook associado a um canal específico em um servidor privado, tornando-o um método ideal para extrair dados confidenciais.

Historicamente, os grupos APT abstiveram-se do Discord devido √†s limita√ß√Ķes da plataforma. √Č uma faca de dois gumes, pois o Discord pode acessar seus dados e potencialmente encerrar suas contas.

No entanto, uma descoberta recente de uma amostra destinada a infra-estruturas críticas ucranianas sugere uma possível mudança nesta tendência.

Embora a amostra n√£o esteja definitivamente ligada a um grupo APT conhecido, √© um desenvolvimento que levanta preocupa√ß√Ķes e requer investiga√ß√£o cont√≠nua.

Análise Técnica e Descobertas

A análise técnica da amostra em questão revela um ataque em vários estágios envolvendo scripts do PowerShell e webhooks do Discord para exfiltração de dados.

A carga final visa coletar informa√ß√Ķes do sistema da v√≠tima. Curiosamente, as fam√≠lias de malware usam o Discord para as suas atividades.

A an√°lise do Threatray mostra a preval√™ncia dessas atividades a partir do final de 2021, com fam√≠lias de malware baixando uma variedade de cargas √ļteis por meio do CDN do Discord.

Os webhooks do Discord também se tornaram populares para famílias de malware que buscam exfiltrar dados roubados.

N√≥s recomendamos:  Principal 6 Alternativas Zapier para automatizar seu trabalho em 2023

Os dados pesquisadores destacam as famílias de malware críticas que exploram esse método, incluindo Mercurial Grabber, AgentTesla e Umbral Stealer.

O uso do Discord por grupos APT é um desenvolvimento recente, sinalizando uma dimensão nova e complexa do cenário de ameaças.

Embora os APTs possam empregar o Discord para exploração ou atividades em estágio inicial, eles ainda podem contar com métodos mais seguros para estágios posteriores.

No entanto, o malware geral representa um desafio diferente. De trojans a ransomware, eles usam os recursos do Discord há anos, ampliando a gama de ameaças aos negócios.

Para garantir a detec√ß√£o adequada dessas atividades maliciosas e dos sistemas de prote√ß√£o, monitorar e controlar as comunica√ß√Ķes do Discord tornou-se essencial, chegando ao ponto de bloque√°-las, se necess√°rio.