mạng phân phối nội dung (CDN) của Discord hiện đang ngày càng được sử dụng để lưu trữ các tệp độc hại và phát tán phần mềm độc hại thông qua các liên kết có vẻ hợp pháp .
Một báo cáo của Sophos đã chỉ ra quy mô và sự đa dạng của phần mềm độc hại sử dụng CDN của Discord: “Các sản phẩm của Sophos bị phát hiện và chặn chỉ trong hai tháng qua, gần gấp 140 lần số lượng phát hiện so với cùng kỳ năm 2020”, tác giả Sean Gallagher cho biết và Andrew Brandt, với 17.000 URL duy nhất được tìm thấy trỏ đến phần mềm độc hại trong quý 2 năm 2021.
Và 17.000 URL đó chỉ tính phần mềm độc hại do dịch vụ lưu trữ, giữ các file trên Google Cloud và sử dụng Cloudflare làm giao diện người dùng. Con số lớn không bao gồm phần mềm độc hại được lưu trữ ở nơi khác sử dụng cơ sở hạ tầng do CDN cung cấp; Các API chatbot của Discord đã được sử dụng để ra lệnh và kiểm soát phần mềm độc hại trong các mục tiêu bị nhiễm, cũng như để chuyển dữ liệu bị đánh cắp vào các máy chủ riêng.
Phần mềm độc hại sử dụng nền tảng khác nhau, nhưng theo các tác giả, phần lớn chúng tập trung vào việc đánh cắp dữ liệu, thông qua đánh cắp thông tin xác thực trực tiếp hoặc trojan truy cập từ xa (RAT). Các mối đe dọa nhắm vào các nền tảng Android cũng đã được nhìn thấy, từ những người nhấp vào quảng cáo đến các Trojan ngân hàng, cũng như phần mềm ransomware đã hết hạn mà không có bất kỳ cách nào để thanh toán cho những kẻ tấn công.
Discord là một nền tảng nhắn tin phổ biến ban đầu được nhắm mục tiêu vào các cộng đồng trò chơi và họ tiếp tục hiện diện đáng kể trên nền tảng này, vì vậy không có gì ngạc nhiên khi rất nhiều tệp độc hại được lưu trữ và phân phối trên đó gắn liền với trò chơi.
Ví dụ: các nhà nghiên cứu đã xác định được một trình cài đặt Minecraft đã được sửa đổi cũng ghi lại các thao tác gõ phím, ảnh chụp màn hình và hình ảnh camera cũng như một “multitool cho FortNite” (sic) đã lây nhiễm các hệ thống bằng cửa hậu Meterpreter.
Những người khác đã nhắm mục tiêu chính Discord, đánh cắp thông tin xác thực và mã thông báo xác thực hoặc ngụy trang thành phần mềm khác nhau, từ các trình duyệt riêng tư đến các ứng dụng Adobe đã crack.
Kỹ thuật xã hội cũng thường là một yếu tố, với lời hứa tạo ra các khóa cho dịch vụ Nitro cao cấp của Discord thường được sử dụng để thu hút người dùng. Một ví dụ ngay lập tức đã cố gắng tìm và loại bỏ các quy trình cho hàng tá công cụ bảo mật, cũng như các tính năng bảo vệ Windows được tích hợp sẵn – mặc dù nếu đó là bất kỳ sự an ủi nào, như ransomware nói trên, thì nhiều trojan này đã đủ cũ để chúng cố gắng thực hiện điện thoại về nhà cho các máy chủ không ở gần đó để phản hồi.
Cuối cùng, mô hình freemium mà Discord dựa vào cho khả năng truy cập của nó hoạt động chống lại nó ở đây. Mặc dù nhiều tính năng chất lượng cuộc sống mong muốn đối với những người dùng lành tính được đặt tường phí sau Nitro, các tài khoản miễn phí vẫn hoàn toàn có thể tải tệp lên (mặc dù có giới hạn kích thước) và giao tiếp với các API của nó.
Điều này cho phép các mối đe dọa xuất hiện hết lần này đến lần khác với các tài khoản mới; trong khi Discord đã gỡ bỏ phần lớn những gì được xác định bởi các nhà nghiên cứu, họ nhận thấy rằng phần mềm độc hại mới liên tục được tải lên hoặc giao tiếp với Discord.
Nguồn: Lagvn