0
0
OBRIGADO EM GRANDE parte da pandemia global,plataformas de colaboração como Discord e Slack assumiram posições íntimas em nossas vidas, ajudando a manter laços pessoais apesar do isolamento físico. Mas seu papel cada vez mais integral também os tornou um caminho poderoso para fornecer malware a vítimas involuntárias — às vezes de maneiras inesperadas.
A divisão de segurança da Cisco, Talos, publicou uma nova pesquisa na quarta-feira destacando como, ao longo da pandemia Covid-19, ferramentas de colaboração como o Slack e, muito mais comumente, o Discord se tornaram mecanismos úteis para os cibercriminosos. Com a frequência crescente, eles estão sendo usados para servir malware às vítimas na forma de um link que parece confiável. Em outros casos, os hackers integraram o Discord em seu malware para controle remoto de seu código executado em máquinas infectadas, e até mesmo para roubar dados das vítimas. Os pesquisadores da Cisco alertam que nenhuma das técnicas encontradas realmente explora uma clara vulnerabilidade hackeável no Slack ou Discord, ou mesmo requer que o Slack ou o Discord sejam instalados na máquina da vítima. Em vez disso, eles simplesmente se aproveitam de alguns recursos pouco examinados dessas plataformas de colaboração, juntamente com sua onipresença e a confiança que tanto os usuários quanto os administradores de sistemas vieram colocar neles.
“As pessoas são muito mais propensas a fazer coisas como clicar em um link do Discord do que teriam sido no passado, porque estão acostumadas a ver seus amigos e colegas postando arquivos no Discord e enviando-lhes um link”, diz nick Biasini, pesquisador de segurança da Cisco Talos. “Todo mundo está usando aplicativos de colaboração, todo mundo tem alguma familiaridade com eles, e os bandidos notaram que podem abusar deles.”ANÚNCIO
Entre as técnicas de exploração de aplicativos de colaboração que os pesquisadores da Cisco estão alertando, as mais comuns usam as plataformas essencialmente como um serviço de hospedagem de arquivos. Tanto o Discord quanto o Slack permitem que os usuários carreguem arquivos para seus servidores e criem links acessíveis externamente a esses arquivos, para que qualquer pessoa possa clicar no link e acessar o arquivo. Em muitos casos, a Cisco descobriu que esses arquivos são maliciosos; os pesquisadores listam nove ferramentas de espionagem de acesso remoto recentes que os hackers tentaram instalar desta forma, incluindo o Agente Tesla, LimeRAT e Phoenix Keylogger.
Os links não têm que ser entregues às vítimas dentro do Slack ou Discord. Eles também podem ser servidos por e-mail, onde os hackers podem muito mais facilmente fazer arrastões para vítimas em massa, se passar por colegas de uma vítima e alcançar usuários com os quais não têm conexão prévia. Como resultado, a Cisco registrou um grande aumento no uso desses links para fornecer malware por e-mail no último ano. “Nos últimos meses, vimos dezenas de milhares, e a taxa tem aumentado constantemente”, diz Biasini. “Agora parece estar atingindo o pico.”
A empresa de segurança Zscaler também observou o aumento do uso da técnica por cibercriminosos em pesquisas publicadas em fevereiro,alertando que eles tinham visto até duas dúzias de variantes de malware por dia, incluindo programas de mineração de ransomware e criptomoedas, sendo entregues como jogos de vídeo falsos incorporados em links do Discord. Os hackers também usaram a técnica para plantar malware que rouba tokens de autenticação do Discord dos computadores das vítimas, permitindo que o hacker se passasse por eles no Discord, espalhando mais links maliciosos do Discord enquanto usa a conta da vítima para cobrir seus rastros.
Além de explorar a confiança que os usuários depositam nos links Slack e Discord, essa técnica também ofusca o malware, uma vez que tanto o Slack quanto o Discord usam criptografia HTTPS em seus links e compactam arquivos quando são carregados. E enquanto outros métodos de hospedagem de malware podem ser retirados offline ou bloqueados quando o servidor de um hacker é descoberto, os links Slack e Discord são mais difíceis de derrubar ou impedir que os usuários acessem. “Os adversários provavelmente serão afetados por coisas como desligar um servidor, desligar um domínio, listar arquivos na lista negra”, diz Biasini. “E o que eles fizeram foi descobrir uma maneira de quebrar isso.”
“Todo mundo está usando aplicativos de colaboração, todo mundo tem alguma familiaridade com eles, e os bandidos notaram que podem abusar deles.” – NICK BIASINI
Além de hospedar seus malwares nos links Discord e Slack, os cibercriminosos também estão usando o Discord como o elemento de comando e controle e roubo de dados em seus malwares. A discórdia permite que os programadores adicionem “webhooks” ao seu código que atualizam automaticamente um canal Discord com informações de um aplicativo ou site. Assim, os cibercriminosos têm explorado essa técnica para transmitir informações de computadores infectados de volta para o servidor de comando e controle que eles usam para administrar uma botnet, ou mesmo para puxar dados da máquina da vítima de volta para o servidor. Assim como a técnica de link malicioso, esse truque de webhook esconde o tráfego malicioso em comunicações discord mais inocentes e criptografadas e torna a infraestrutura do hacker mais difícil de desligar. (Embora o Slack também ofereça um recurso semelhante ao webhook, a Cisco diz que ainda não viu hackers abusarem dele, pois eles têm o Discord’s.)Mais Popular
Quando a WIRED entrou em contato com o Discord e o Slack, um porta-voz da Discord disse que a empresa faz uma varredura proativa para malware em arquivos que estão hospedados em sua plataforma, retira qualquer malware hospedado que é relatado a ele por usuários ou pesquisadores de segurança, e procura identificar grupos de usuários que estão abusando de suas ferramentas para fins de cibercriminosos. “Estamos trabalhando para melhorar nossos processos para facilitar a denúncia desses tipos de problemas, melhorar a forma como essas questões são encaminhadas internamente para uma triagem mais rápida e dedicar mais recursos para identificar proativamente esse tipo de abuso”, escreve o porta-voz. Um porta-voz do Slack respondeu com uma declaração apontando que, desde fevereiro, o Slack bloqueou .exe arquivos de serem compartilhados via links externos e bloqueou muitos outros tipos de arquivos potencialmente perigosos no Slack Connect, que permite que os usuários enviem mensagens entre as instalações do Slack. O Slack diz que também está trabalhando em mais ferramentas de proteção contra malware e varredura de links que serão implementadas nesta primavera.
Além de pressionar o Slack e o Discord a digitalizar mais eficazmente os arquivos em busca de sinais de malware que eles hospedam como links externos, o Biasini da Cisco argumenta que as organizações devem considerar simplesmente bloquear links do Discord, uma vez que não é frequentemente usado como uma ferramenta de colaboração autorizada dentro de redes corporativas. Quanto às organizações que usam o Discord e não podem bloqueá-lo — ou usuários individuais que não têm políticas de segurança no estilo empresarial — ele diz que eles devem aprender a olhar os links do Slack e particularmente do Discord tão cautelosamente quanto fazem qualquer outro link que venha de um estranho. “É a mesma coisa antiga: não clique em links de pessoas que você não conhece. Se você não sabe de onde isso veio, não acredite nisso. Se parece bom demais para ser verdade, provavelmente é”, diz Biasini. “Se você nunca clicou em uma URL do Discord antes, não comece agora.”
FONTE: WIRED