Pelaku Ancaman Menyalahgunakan Perselisihan untuk Mendorong Malware

Pelaku
Threat menyalahgunakan fitur inti dari platform komunikasi digital Discord yang populer untuk terus-menerus mengirimkan berbagai jenis malware—khususnya trojan akses jarak jauh (RAT) yang dapat mengambil alih sistem—menempatkan 150 juta penggunanya dalam risiko, menurut temuan para peneliti.

RiskIQ dan CheckPoint keduanya menemukan malware multi-fungsi yang dikirim dalam pesan di seluruh platform, yang memungkinkan pengguna untuk mengatur server Discord ke dalam saluran berbasis topik di mana mereka dapat berbagi file teks, gambar atau suara atau executable lainnya. File-file itu kemudian disimpan di server Jaringan Pengiriman Konten (CDN) Discord.

Researchers memperingatkan, “banyak file yang dikirim melalui platform Discord berbahaya, menunjukkan sejumlah besar penyalahgunaan CDN yang dihosting sendiri oleh aktor dengan membuat saluran dengan satu-satunya tujuan mengirimkan file berbahaya ini,” menurut sebuah laporan yang diterbitkan Kamis oleh Team RiskIQ.

Awalnya Discord menarik para gamer, tetapi platform tersebut sekarang digunakan oleh organisasi untuk komunikasi di tempat kerja. Penyimpanan file berbahaya di CDN Discord dan proliferasi malware di platform berarti bahwa “banyak organisasi dapat mengizinkan lalu lintas buruk ini ke jaringan mereka,” tulis peneliti RiskIQ.

RATs and Miscellaneous Malware

Fitur malware terbaru yang ditemukan di platform mencakup kemampuan untuk mengambil tangkapan layar, mengunduh dan mengeksekusi file tambahan, dan melakukan keylogging, peneliti CheckPoint Idan Shechter dan Omer Ventura mengungkapkan dalam laporan terpisah yang juga diterbitkan Kamis.

CheckPoint juga menemukan bahwa Discord Bot API—implementasi Python sederhana yang memudahkan modifikasi dan mempersingkat pengembangan proses bot di platform–“dapat dengan mudah mengubah bot menjadi RAT sederhana” yang dapat digunakan oleh pelaku ancaman “untuk mendapatkan akses penuh dan kendali jarak jauh pada sistem pengguna.” Bot

Discord menjadi bagian integral dari cara pengguna berinteraksi dengan Discord, memungkinkan mereka untuk mengintegrasikan kode untuk fitur yang disempurnakan untuk memfasilitasi komunitas manajemen, kata peneliti.

“Bot perselisihan tampaknya kuat, ramah, dan sangat menghemat waktu,” tulis Shechter dan Ventura. “Namun, dengan kekuatan besar juga ada tanggung jawab besar, dan kerangka kerja bot Discord dapat dengan mudah digunakan untuk niat jahat.” Peneliti

CheckPoint menemukan beberapa repositori berbahaya di antara GitHub yang relevan untuk platform Discord. Repositori ini termasuk malware berdasarkan Discord API dan bot jahat dengan fungsi berbeda, kata mereka. dari 100 mengirimkan konten berbahaya. Delapan puluh file berasal dari 17 keluarga malware yang berbeda, dengan trojan terdiri dari malware paling umum yang diamati pada platform, kata peneliti.

Secara khusus, peneliti RiskIQ mempelajari lebih dalam bagaimana Discord CDN menggunakan domain Discord melalui tautan yang menggunakan [hxxps://cdn .discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/{filename}] sebagai format untuk menemukan malware, kata mereka.

Researchers mendeteksi tautan dan menanyakan ID saluran Discord yang digunakan dalam tautan ini, yang memungkinkan mereka mengidentifikasi domain berisi halaman web yang tertaut ke tautan CDN Discord dengan ID saluran tertentu, kata mereka.

“Misalnya, platform RiskIQ dapat menanyakan ID saluran yang terkait dengan zoom[-]download[.]ml,” jelas peneliti. “Domain ini mencoba menipu pengguna agar mengunduh plug-in Zoom untuk Microsoft Outlook dan sebagai gantinya mengirimkan pencuri kata sandi Dcstl yang dihosting di CDN Discord.”

Dalam contoh lain, RiskIQ menemukan bahwa ID saluran untuk URL yang berisi file pencuri kata sandi Raccoon dikembalikan sebuah domain untuk Taplink, sebuah situs yang menyediakan halaman arahan mikro bagi pengguna untuk mengarahkan individu ke Instagram dan halaman media sosial lainnya, mereka menjelaskan.

“Seorang pengguna kemungkinan menambahkan tautan Discord CDN ke halaman Taplink mereka,” jelas para peneliti. “Meminta ID ini memungkinkan pengguna RiskIQ untuk memahami file Discord dan infrastruktur terkait mana yang terkait dan di mana mereka berada di seluruh web.”

Teknik ini memungkinkan peneliti untuk menentukan tanggal dan waktu saluran Discord dibuat, menghubungkan yang dibuat dalam beberapa hari sebelum pengamatan pertama dari file di VirusTotal ke saluran dengan tujuan tunggal mendistribusikan malware, kata mereka. Pada akhirnya, mereka menemukan dan membuat katalog 27 jenis malware unik yang dihosting di CDN Discord.

Security Holes Persist

Penelitian terbaru bukan pertama kalinya Discord dipanggil karena masalah malware. Pada bulan Juli peneliti dari Sophos mengungkapkan bahwa jumlah deteksi malware Discord meningkat tajam dibandingkan tahun lalu, juga mengamati penyalahgunaan CDN untuk meng-host file berbahaya. Para peneliti juga mengatakan pada saat itu bahwa API Discord sedang dimanfaatkan untuk mengekstrak data yang dicuri dan memfasilitasi saluran perintah dan kontrol peretas.

Temuan ini secara tidak mengejutkan menimbulkan kekhawatiran di antara para pakar keamanan, yang mengatakan bahwa mereka menunjukkan banyak lubang dengan platform yang banyak digunakan orang untuk berkomunikasi. dan berbagi file yang mengandalkan penggunaan lalu lintas terenkripsi untuk keamanan.

Namun, seperti yang telah diamati berkali-kali sebelumnya, mengenkripsi lalu lintas pada API saja tidak cukup untuk menjauhkan malware dari jaringan pengiriman konten, catat seorang profesional keamanan.

“Penyalahgunaan API paling baik dipertahankan dengan memastikan bahwa hanya klien perangkat lunak asli yang dapat menggunakan API, sehingga mencegah skrip berbahaya dan malware yang merusak platform, David Stewart, CEO perusahaan keamanan Approov, mengatakan dalam email ke Threatpost.

Penemuan ini juga menyoroti masalah utama dalam pengembangan platform komunikasi—penekanan pada fungsionalitas daripada keamanan, kata sekuritas lainnya ty professional.

“Ini adalah contoh eksploitasi yang mungkin bisa diatasi dengan desain perangkat lunak yang lebih baik,” Saryu Nayyar, CEO perusahaan keamanan Gurucul, mengatakan dalam email ke Threatpost.

Yang mengatakan, pengembang Discord perlu memikirkan menambahkan cara untuk mengumpulkan dan menganalisis data secara real time dari platform untuk menemukan dan dengan cepat memulihkan aktivitas yang tidak biasa, katanya.

“Tidak adanya desain ulang perangkat lunak Discord, ini adalah satu-satunya cara realistis untuk mendeteksi malware adalah dengan mencari aktivitas yang luar biasa,” Nayyar mengamati.
Tulis komentar
Bagikan artikel ini:

  • Malware
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: