discord

Szkodliwa aktywność w czatach Discorda

W oparciu o ostatnie badania omawiamy scenariusze szkodliwej aktywności na Discordzie.

Enoch Root
09/11/2021

Od chwili uruchomienia czatu Discorda i usługi VoIP minęło już sześć lat, a platforma ta stała się popularnym narzędziem do budowania różnych społeczności, w szczególności graczy. Jednak podobnie jak każde inne miejsce z treściami generowanymi przez użytkowników, Discord może być wykorzystywany do różnego rodzaju nadużyć. Ponadto rozbudowane opcje dostosowywania umożliwiają atakowanie zwykłych użytkowników zarówno na serwerze czatu, jak i poza nim. Ostatnio przeprowadzone zostały badania, które sprawdzały bezpieczeństwo platformy Discord. Ujawniły one kilka scenariuszy cyberataków związanych z usługą czatu, z których część może stwarzać naprawdę spore niebezpieczeństwo dla użytkowników. Jak się ustrzec?

Szkodliwe oprogramowanie rozprzestrzeniane przez Discord

Najbardziej oczywiste zagrożenie stanowią szkodliwe pliki dystrybuowane za pośrednictwem Discorda. W toku przeprowadzonego niedawno badania zidentyfikowano kilkadziesiąt rodzajów szkodliwego oprogramowania. Nazywamy to zagrożenie „oczywistym”, bo udostępnianie plików za pośrednictwem Discorda jest bardzo łatwe — każdy plik przesłany na platformę ma przypisany stały adres URL, sformatowany w następujący sposób:

cdn.discordapp.com/attachments/{identyfikator kanału}/{identyfikator pliku}/{nazwa pliku}

Większość plików jest swobodnie dostępna do pobrania przez każdego, kto ma link.

Wspomniane badanie opisuje przykład rzeczywistego ataku: fałszywą stronę internetową oferującą pobieranie klienta do przeprowadzania konferencji Zoom. Strona internetowa wygląda jak prawdziwa, a szkodliwy plik jest hostowany na serwerze Discorda. W ten sposób omijane są ograniczenia dotyczące pobierania plików z niezaufanych źródeł: serwery tej popularnej aplikacji używanej przez miliony osób są mniej narażone na blokowanie przez rozwiązania chroniące przed szkodliwym oprogramowaniem.

Na szczęście mamy możliwość zapewnienia sobie ochrony: wysokiej jakości rozwiązania bezpieczeństwa analizują nie tylko źródło pobierania, aby określić poziom zagrożenia, jakie może stanowić plik. Narzędzia firmy Kaspersky natychmiast wykrywają szkodliwą funkcjonalność już podczas pierwszej próby pobrania pliku przez użytkownika, a następnie — za pomocą systemu bezpieczeństwa opartego na chmurze — informują wszystkich innych użytkowników, że plik powinien zostać zablokowany.

Problemy związane z nadużyciem dotyczą wszystkich usług, które umożliwiają przesyłanie treści generowanych przez użytkowników. Na przykład bezpłatne witryny hostingowe często borykają się z utworzonymi na nich stronami phishingowymi, a platformy wymiany plików są wykorzystywane do rozprzestrzeniania trojanów, z kolei usługi wypełniania formularzy służą jako kanały do rozsyłania spamu. Lista takich okoliczności jest długa i chociaż właściciele tych platform starają się walczyć z takimi nadużyciami, różnie im to wychodzi.

Programiści platformy Discord również muszą wdrożyć przynajmniej niektóre podstawowe środki zabezpieczające użytkowników. Na przykład pliki używane na określonym serwerze czatu nie muszą być udostępniane całemu światu. Rozsądnym posunięciem jest także sprawdzanie i automatyczne blokowanie znanego szkodliwego oprogramowania. Jednak jest to najmniej egzotyczny problem Discorda, a wyeliminowanie go tak naprawdę nie różni się od radzenia sobie z jakąkolwiek inną metodą dystrybucji szkodliwego oprogramowania. Nie jest to jednak jedyne zagrożenie, z jakim spotykają się użytkownicy tej platformy.

Szkodliwe boty

Inne przeprowadzone niedawno badanie pokazuje, jak łatwo można wykorzystać system botów na Discordie. Boty te rozszerzają funkcjonalność serwera czatu, chociaż sam Discord oferuje szeroki wachlarz opcji dostosowywania własnych czatów. Jeden z przykładów szkodliwego kodu związanego z czatem został niedawno opublikowany (i dość szybko usunięty) w serwisie GitHub: korzystając głównie z możliwości zapewnianych przez interfejs DISCORD API, autor badania był w stanie wykonać dowolny kod na komputerze użytkownika. Może to wyglądać mniej więcej tak:

Szkodliwy chatbot uruchamia dowolny program na komputerze użytkownika po otrzymaniu polecenia za pośrednictwem czatu na Discordzie. Źródło

W jednym ze scenariuszy ataku szkodliwy kod wykorzystuje lokalnie zainstalowanego klienta platformy Discord, który uruchamia się automatycznie podczas rozruchu. Do takiej infekcji może prowadzić zainstalowanie bota z niezaufanego źródła.

Badacze przyjrzeli się również innemu scenariuszowi niewłaściwego użycia Discorda, w którym użytkownik nie musi instalować jego klienta. W takim przypadku szkodliwe oprogramowanie wykorzystuje do komunikacji usługę czatu. Dzięki publicznemu interfejsowi API, nieskomplikowanemu procesowi rejestracji i podstawowemu szyfrowaniu danych backdoor może z łatwością używać Discorda do wysyłania do swojego operatora informacji o zainfekowanym systemie oraz otrzymywać polecenia wykonania kodu, przesyłania nowych szkodliwych modułów i nie tylko.

Tego rodzaju scenariusz jest o tyle niebezpieczny, że znacząco upraszcza pracę atakującym — nie muszą oni tworzyć interfejsu komunikacyjnego z zainfekowanymi komputerami, lecz mogą użyć czegoś, co jest już dostępne. Jednocześnie wykrywanie szkodliwej aktywności jest nieco utrudnione, gdyż komunikacja pomiędzy backdoorem a jego operatorem wyglądają jak zwykła aktywność użytkownika na popularnym czacie.

Ochrona dla graczy

Chociaż wyżej wymienione zagrożenia dotyczą wszystkich użytkowników platformy Discord, najbardziej powinny uważać osoby, które używają Discorda podczas grania: do komunikacji głosowej i tekstowej, przesyłania strumieniowego, zbierania statystyk gier i tak dalej. W takich przypadkach Discord jest zwykle mocno spersonalizowany, co zwiększa ryzyko znalezienia i zainstalowania przez użytkowników szkodliwych rozszerzeń.

Kolejnym zagrożeniem jest zrelaksowane, pozornie bezpieczne środowisko, które zwiększa ryzyko pomyślnego ataku socjotechnicznego — przynęta lepiej działa w zwykłej rozmowie z ludźmi, których uważasz za swoich znajomych. Zalecamy przestrzeganie tych samych zasad higieny cyfrowej na Discordzie, co w innych miejscach w internecie: nie klikaj podejrzanych linków ani nie pobieraj nieznanych plików, analizuj oferty, które brzmią zbyt dobrze, aby mogły być prawdziwe, i nie udostępniaj żadnych danych osobowych ani finansowych.

Jeśli chodzi o trojany i backdoory, które są dystrybuowane poprzez Discordza, nie są one niczym specjalnym i zasadniczo różnią się od innych rodzajów szkodliwego oprogramowania. Aby zachować bezpieczeństwo, używaj niezawodnej aplikacji antywirusowej i nie wyłączaj jej — także podczas instalowania dowolnego oprogramowania lub dodawania botów do serwera czatu. Ponadto zwracaj uwagę na wyświetlane przez nią ostrzeżenia.

Nie musisz poświęcać wydajności kosztem ochrony. Na przykład nasze produkty zabezpieczające zawierają tryb gracza, który minimalizuje zagrożenia bez uszczerbku dla poziomu zabezpieczeń.

Cyberbezpieczeństwo w świecie 007

Co James Bond i jego koledzy z Tajnej Służby Wywiadowczej wiedzą o cyberbezpieczeństwie?

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Szkodliwa aktywność w czatach Discorda

Szkodliwe oprogramowanie rozprzestrzeniane przez Discord

Szkodliwe boty

Ochrona dla graczy

Atak typu „przeglądarka w przeglądarce” : nowa technika phishingu

Transparentność w firmie Kaspersky

Cyberbezpieczeństwo w świecie 007

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog