Discord, bilgisayar korsanları ve şimdi uygun gruplar tarafından kötü niyetli etkinlik için bir üreme alanı olmaya devam ediyor, bu da yaygın olarak kötü amaçlı yazılım dağıtmak, verileri dışarı atmak ve tehdit aktörleri tarafından kimlik doğrulama jetonlarını çalmak için hedefliyor.
Trellix'in yeni bir raporu, platformun şimdi kritik altyapıyı hedeflemek için uyumsuzluğu kötüye kullanan APT (ileri kalıcı tehdit) bilgisayar korsanları tarafından benimsendiğini açıklıyor.
Son yıllarda sorunun artan ölçeğine rağmen, Discord siber suçluları caydırmak, sorunu kararlı bir şekilde ele almak veya en azından sınırlamak için etkili önlemler uygulayamamıştır.
Tehdit aktörleri Discord'u üç şekilde kötüye kullanır: Kötü amaçlı yazılım dağıtmak için İçerik Dağıtım Ağı'ndan (CDN) yararlanmak, Discord istemcisini şifreleri çalmaya değiştirmek ve Discord Webhook'ları mağdurun sisteminden veri çalmak için kötüye kullanmak.
Discord'un CDN'si genellikle kurbanın makinesinde kötü amaçlı yükler teslim etmek için kullanılır, kötü amaçlı yazılım operatörlerinin AV algılamasından kaçmasına yardımcı olur ve dosyalar güvenilir 'cdn.discordapp.com' alanından gönderilirken.
Trellix'in verileri, en az 10.000 kötü amaçlı yazılım örneğinin, esas olarak kötü amaçlı yazılım yükleyicileri ve jenerik yükleyici komut dosyaları olmak üzere sistemlere ikinci aşama yükleri yüklemek için Discord CDN kullandığını göstermektedir.
Discord'un CDN'sinden getirilen ikinci aşama yükler öncelikle Redline Stealer, Vidar, AgentTesla, Zgrat ve Raccoon Stealer'dır.
Discord Webhooks'un mağdurun cihazından veri hırsızlığı için kötüye kullanılması ile ilgili olarak Trellix, aşağıdaki 17 ailenin uygulamayı Ağustos 2021'den bu yana uyguladığını söylüyor:
Bu kötü amaçlı yazılım aileleri, kimlik bilgileri, tarayıcı çerezleri, kripto para birimi cüzdanları ve enfekte sistemlerden gelen diğer verileri toplayacak ve daha sonra bunları webhooks kullanarak bir anlaşmazlık sunucusuna yükleyecektir.
Bu Discord sunucusunun kontrolündeki tehdit aktörleri daha sonra çalınan veri paketlerini diğer saldırılarda kullanılmak üzere toplayabilir.
2023'ün en büyük suçluları, son aylarda kampanyalar yürüten Ajan Tesla, Umbral Stealer, Stealerium ve Zgrat'dır.
Discord'un CDN'sini kötüye kullanma nedenlerine benzer şekilde, platformun web şövalyeleri, siber suçlulara verileri dışarı atmak için gizli bir yol sunarak trafiğin ağ izleme araçlarına zararsız görünmesini sağlıyor.
Dahası, web şövalyelerinin asgari kodlama bilgisi ile kurulması ve kullanılması kolaydır, gerçek zamanlı pessfiltrasyonu etkinleştirir, uygun maliyetlidir ve Discord'un altyapı kullanılabilirliği ve fazlalığının ek avantajına sahiptir.
Trellix, sofistike tehdit gruplarının, özellikle faaliyetlerini sayısız diğerleriyle harmanlamalarına izin veren standart araçların kötüye kullanılmasına değer veren, izleme ve ilişkilendirmeyi neredeyse imkansız hale getiren uyumsuzluğu kullanmaya başladığını söylüyor.
Trellix, sınırlı sunucu kontrolü ve hesap kapatma riskinden veri kaybı gibi caydırıcıların artık APT'lerin Discord'un özelliklerini kötüye kullanmasını önlemek için yeterli olmadığını söylüyor.
Araştırmacılar, bilinmeyen bir APT grubunun Ukrayna'da mızrak aktı yemini kullanarak kritik altyapıyı hedeflediği bir davayı vurguladılar.
Kötü niyetli e-postalar, Ukrayna'da kar amacı gütmeyen bir kuruluştan gibi davranan bir OneNote eki taşır, bu da tıklandığında VBS kodunun yürütülmesini tetikleyen gömülü bir düğme içerir.
Kod, kurban verilerini genişletmek için Discord Webhooks'tan yararlanan son aşama yükü indirmek için bir GitHub depo ile iletişim kuran bir dizi komut dosyasını şifresini çözüyor.
Trellix Raporu, "Discord'un işlevselliklerinden yararlanan APT kötü amaçlı yazılım kampanyalarının potansiyel ortaya çıkışı, tehdit manzarasına yeni bir karmaşıklık katmanı getiriyor."
"APT'ler sofistike ve hedefli saldırıları ile bilinir ve anlaşmazlık gibi yaygın olarak kullanılan iletişim platformlarına sızarak, ağlar içinde uzun vadeli dayanaklar oluşturabilir, kritik altyapı ve hassas verileri riske atabilirler."
Uyuşmazlığın kötüye kullanılması, saldırının ilk keşif aşamalarıyla sınırlı kalsa bile, gelişme hala endişe vericidir.
Ne yazık ki, platformun ölçeği, şifrelenmiş veri değişimi, siber tehditlerin dinamik doğası ve istismar edilen özelliklerin çoğu kullanıcı için meşru amaçlara hizmet etmesi, uyumsuzluğun iyiyi iyilikten ayırt etmesini neredeyse imkansız hale getiriyor.
Ayrıca, kötü niyetli davranışlardan şüphelenilen hesapların yasaklanması, kötü niyetli aktörlerin yenilerini oluşturmasını ve faaliyetlerini sürdürmesini engellemez, bu nedenle sorun muhtemelen gelecekte daha da kötüleşecektir.
Yeni 'Metastealer' kötü amaçlı yazılım hedefleri Intel tabanlı MacOS Systems
Hacker oyuncuların bilgilerini satmaya çalışırken Shadow PC veri ihlalini uyarıyor
Yüzlerce kötü niyetli python paketi, hassas verileri çalmayı buldu
Yeni Bunnyloader tehdidi, hizmet olarak zengin bir kötü amaçlı yazılım olarak ortaya çıkıyor
Sahte Bitwarden Siteleri Yeni Zenrat Şifre Çalma Kötü Yazılım
Kaynak: Bleeping Computer