מחקר של סופוס: האקרים מטרגטים את פלטפורמת דיסקורד

פושעי הסייבר משתמשים בפלטפורמת הצ׳ט כדי להפיץ ולשלוט בתכנות זדוניות המכוונות למשתמשים בשירות

מחקר של סופוס: האקרים מטרגטים את פלטפורמת דיסקורד

Photo by Rafael Henrique / SOPA Images/Sipa USA

פושעי סייבר עושים שימוש גובר בפלטפורמת הצ'ט הפופולרית דיסקורד כדי להפיץ ולשלוט בתוכנות זדוניות המכוונות למשתמשים בשירות, כך עולה ממחקר חדש של סופוס, העוסקת באבטחת הדור הבא.  

על פי חוקרי החברה, תוכנות זדוניות מתמקדות יותר ויותר בפלטפורמת הצ'אט דיסקורד והשימוש לרעה בה צמח בהיקפים גדולים בשנה האחרונה. איומי הסייבר שנחשפו על ידי החוקרים כוללים תוכנות זדוניות לגניבת מידע, תוכנות ריגול, דלתות אחוריות ותוכנות כופר שהתעוררו לתחייה כ- mischiefware, המונעות מהקורבן גישה למידע שלו.

הממצאים מבוססים על ניתוח שביצעו חוקרי סופוס ביותר מ-1,800 קבצים זדוניים שזוהו ברשת ניהול התוכן (CDN) של דיסקורד. בין היתר, חושף המחקר כי מספר כתובות ה-URL  המארחות תוכנות זדוניות ברשת זינק ברבעון השני של 2021 ב-140% בהשוואה לתקופה המקבילה בשנת 2020.

לדברי שון גלאגר, חוקר איומים בכיר בסופוס, "דיסקורד מספקת רשת הפצה עולמית, קבועה וזמינה עבור מפעילי תוכנות זדוניות. במקביל, היא גם משמשת עבור העבריינים כמערכת העברת הודעות שניתן לשלב בערוצי השליטה והבקרה של התוכנות הזדוניות שלהם - באותה דרך שבה תוקפים עושים שימוש בשירותים כמו טלגרם. בסיס המשתמשים העצום של דיסקורד מספק גם סביבה אידיאלית לגניבת מידע אישי והרשאות גישה שונות באמצעות שיטות של הנדסה חברתית.

"מצאנו תוכנה זדונית שיכולה לגנוב תמונות פרטיות מהמצלמה במכשיר נגוע, כמו גם תוכנות כופר מ-2006 שהתוקפים הקימו אותן לתחייה כדי למנוע מהקורבן גישה למידע שלו. אולם לא מצאנו דרישות כופר או מפתחות פענוח" אומר גלאגר.

 "בנוסף, פושעי סייבר הבינו כי חברות משתמשות יותר ויותר בפלטפורמת דיסקורד לצרכי תקשורת פנימית או בשימוש של קהילות, ממש כפי שהן משתמשות בערוצים כמו סלאק, מה שלמעשה מספק לתוקפים קהל יעד חדש ומשתלם, במיוחד כאשר צוותי אבטחה לא תמיד יכולים לבדוק את התעבורה המוצפנת אל דיסקורד וממנה כדי לראות מה קורה ולהתריע במידת הצורך".

מחקר התוכן זדוני בדיסקורד מצא את הדברים הבאים:

  1. תוכנות זדוניות לרוב מסתוות ככלים וכצ'יטים הקשורים למשחק. צ'יטים נפוצים שנצפו על ידי חוקרי סופוס כוללים מודיפיקציות המאפשרות לשחקנים להשבית יריב או לקבל גישה לתכונות פרימיום בחינם - בדרך כלל במשחקים פופולריים כמוMinecraft, Fortnite  ו-GTA. בנוסף, איתרו החוקרים מצאו גם אופציה זדונית שהוצעה לגיימרים לבדוק משחק בבטא.
  2. תוכנות גונבות מידע הן האיום הנפוץ ביותר, המהווה יותר מ-35% מהתוכנות הזדוניות שנצפו. יותר מ-10% מהתוכנות הזדוניות שסופוס זיהתה בדיסקורד שייכות למשפחת  Bladabindi- משפחה של דלתות אחוריות גונבות מידע. החוקרים  מצאו כמה תוכנות זדוניות שחוטפות סיסמאות, כולל לוגרים של אסימון אבטחה שנבנה במיוחד כדי לגנוב חשבונות דיסקורד. במקרה אחר, החוקרים מצאו גרסה שונה של מתקין מיינקראפט שמתקין מוד בשם Saint, שזו למעשה תוכנת ריגול המסוגלת ללכוד הקשות ותמונות מסך כמו גם תמונות ישירות מהמצלמה במכשיר נגוע.
  3. נמצאו גם תוכנות כופר לשימוש חוזר, דלתות אחוריות, חבילות זדוניות של אנדרואיד ועוד. הקבצים כללו מספר סוגים של תוכנות כופר ל- Windowsהמופצות על ידי תוקפים החוסמים גישה לנתונים אך אינם דורשים כופר ולא מציעים לקורבן מפתח פענוח תמורת תשלום.

ברמה הטכנית, החוקרים מצאו כמה תוכנות זדוניות המשתמשות בצ'אט בוטים של ממשק תכנות היישומים (API) של  דיסקורד, כדי לתקשר באופן סמוי עם שרת הפיקוד שלהם ולקבל ממנו הוראות הפעלה. הם גם חשפו קבצים הקשורים להתקנתן של גרסאות לא תקינות של תוכנות מסחריות פופולריות, כגון Adobe Photoshop, וכלים שכביכול מאפשרים למשתמש גישה לתכונות בתשלום של Discord Nitro, גירסת הפרימיום של הפלטפורמה.

סופוס ממליץ לארגונים המשתמשים בדיסקורד לצרכי תקשורת פנימית במקום העבודה להשתמש באימות רב גורמים (MFA) כדי להגן על חשבונות הדיסקורד של העובדים ולהבטיח שלכל העובדים תהיה הגנה עדכנית מפני תוכנות זדוניות בכל מחשב בו הם משתמשים כדי לגשת לפלטפורמות תקשורת ושיתוף פעולה מרוחקות.

אולי יעניין אותך גם