26/07/21
Злоумышленники все чаще используют проприетарный бесплатный мессенджер Discord в качестве канала для распространения вредоносных программ, предупредили специалисты Sophos.
По данным компании, 4% вредоносов, использующих TLS для связи с командной инфраструктурой задействовали Discord. Всего за два последних месяца число таких взаимодействий выросло в 140 раз.
Discord предлагает свою сеть доставки контента (CDN) для того, чтобы пользователи могли загружать и делиться файлами, а также предоставляет API для доступа к сервису. Этим и пользуются злоумышленники, рассматривая CDN как бесплатную инфраструктуру для распространения вредоносов.
Создатели вредоносных программ используют Discord для доставки и управления вредоносным ПО, нацеленным на пользователей мессенджера. Многие вредоносы связаны с online-играми, поскольку большое количество пользователей Discord являются игроками в такие игры, как например, Fortnite, Minecraft или Roblox.
Однако большая часть вредоносного ПО предназначена для хищения данных, говорят исследователи. Они также выявили несколько семейств программ-вымогателей и вредоносы для Android, включая ПО для шпионажа и хищения информации.
Во втором квартале текущего года Sophos обнаружила 17 тыс. уникальных URL в Discord CDN, используемых для хостинга вредоносного ПО.
«Хотя Discord имеет ряд функций отслеживания вредоносного ПО, многие виды вредоносного контента проскальзывают незамеченными […] И когда пользователей ловят, они отключают свой аккаунт и создают новый. Discord полагается на уведомления пользователей для борьбы со злоупотреблениями, но когда его архитектура используется для действий в отношении объектов вне сообщества Discord они могут оставаться незамеченными в течение месяцев», - отметили эксперты.
Исследователи сообщили Discord о своих находках, и компания удалила вредоносное ПО. Однако подход компании к решению проблемы не слишком эффективен, поскольку новые вредоносы продолжают появляться в сервисе, считают эксперты.
