En lo que es la última evolución de los actores de amenazas que abusan de la infraestructura legítima con fines nefastos, nuevos hallazgos muestran que los grupos de piratas informáticos de los estados-nación han entrado en escena al aprovechar la plataforma social para atacar la infraestructura crítica.
Discord, en los últimos años, se ha convertido en un objetivo lucrativo, actuando como un terreno fértil para alojar malware utilizando su red de entrega de contenido (CDN), además de permitir a los ladrones de información desviar datos confidenciales de la aplicación y facilitar la filtración de datos mediante webhooks.
«El uso de Discord se limita en gran medida a ladrones y captadores de información que cualquiera puede comprar o descargar de Internet», afirman los investigadores de Trellix Ernesto Fernández Provecho y David Pastor Sanz. dicho en un informe del lunes.
Pero eso puede estar cambiando, ya que la empresa de ciberseguridad dijo que encontró evidencia de un artefacto dirigido a infraestructuras críticas de Ucrania. Actualmente no hay evidencia que lo vincule con un grupo de amenaza conocido.
«La posible aparición de campañas de malware APT que explotan las funcionalidades de Discord introduce una nueva capa de complejidad en el panorama de amenazas», señalaron los investigadores.
El ejemplo es un archivo de Microsoft OneNote distribuido a través de un mensaje de correo electrónico que se hace pasar por la organización sin fines de lucro dobro.ua.
El archivo, una vez abierto, contiene referencias a soldados ucranianos para engañar a los destinatarios para que donen haciendo clic en un botón con trampa explosiva, lo que resulta en la ejecución de Visual Basic Script (VBS) diseñado para extraer y ejecutar un script de PowerShell para descargar otro PowerShell. script de un repositorio de GitHub.
Por su parte, en la etapa final, PowerShell aprovecha un webhook de Discord para filtrar metadatos del sistema.
«El hecho de que el único objetivo de la carga útil final sea obtener información sobre el sistema indica que la campaña aún se encuentra en una etapa inicial, lo que también encaja con el uso de Discord como [command-and-control]», dijeron los investigadores.
«Sin embargo, es importante destacar que el actor podría entregar una pieza de malware más sofisticada a los sistemas comprometidos en el futuro modificando el archivo almacenado en el repositorio de GitHub».
El análisis de Trellix reveló además que cargadores como SmokeLoader, PrivateLoader y GuLoader se encuentran entre las familias de malware más frecuentes que utilizan la CDN de Discord para descargar una carga útil de la siguiente etapa, incluidos ladrones como RedLine, Vidar, Agent Tesla y Umbral.
Además de eso, algunas de las familias de malware comunes que se han observado usando webhooks de Discord son Mercurial Grabber, Stealerium, Typhon Stealer y Venom RAT.
«El abuso de la CDN de Discord como mecanismo de distribución de cargas útiles de malware adicionales muestra la adaptabilidad de los ciberdelincuentes para explotar aplicaciones colaborativas para su beneficio», dijeron los investigadores.
«Las APT son conocidas por sus ataques sofisticados y dirigidos, y al infiltrarse en plataformas de comunicación ampliamente utilizadas como Discord, pueden establecer de manera eficiente puntos de apoyo a largo plazo dentro de las redes, poniendo en riesgo la infraestructura crítica y los datos confidenciales».