En lo que es la última evolución de los actores de amenazas que abusan de la infraestructura legítima con fines nefastos, los nuevos hallazgos muestran que los grupos de piratas informáticos de los estados-nación han entrado en la refriega al aprovechar la plataforma social para atacar la infraestructura crítica.
Discord, en los últimos años, se ha convertido en un objetivo lucrativo, actuando como un terreno fértil para alojar malware utilizando su red de entrega de contenido (CDN), además de permitir que los ladrones de información desvíen datos confidenciales de la aplicación y faciliten la exfiltración de datos por medio de webhooks.
«El uso de Discord se limita en gran medida a los ladrones y capturadores de información que cualquiera puede comprar o descargar de Internet», dijeron los investigadores de Trellix, Ernesto Fernández Provecho y David Pastor Sanz, en un informe del lunes.
Pero eso puede estar cambiando, ya que la firma de ciberseguridad dijo que encontró evidencia de un artefacto dirigido a infraestructuras críticas ucranianas. Actualmente no hay evidencia que lo vincule a un grupo de amenazas conocido.
«La posible aparición de campañas de malware APT que explotan las funcionalidades de Discord introduce una nueva capa de complejidad en el panorama de amenazas», señalaron los investigadores.
El ejemplo es un archivo de Microsoft OneNote distribuido a través de un mensaje de correo electrónico que suplanta a la organización sin ánimo de lucro dobro.ua.
El archivo, una vez abierto, contiene referencias a soldados ucranianos para engañar a los destinatarios para que donen haciendo clic en un botón de trampa explosiva, lo que resulta en la ejecución de Visual Basic Script (VBS) diseñado para extraer y ejecutar un script de PowerShell para descargar otro script de PowerShell desde un repositorio de GitHub.
Por su parte, en la etapa final, PowerShell aprovecha un webhook de Discord para exfiltrar metadatos del sistema.
«El hecho de que el único objetivo de la carga útil final sea obtener información sobre el sistema indica que la campaña aún se encuentra en una etapa temprana, lo que también encaja con el uso de Discord como [comando y control]», dijeron los investigadores.
«Sin embargo, es importante destacar que el actor podría entregar una pieza de malware más sofisticada a los sistemas comprometidos en el futuro modificando el archivo almacenado en el repositorio de GitHub».
El análisis de Trellix reveló además que cargadores como SmokeLoader, PrivateLoader y GuLoader se encuentran entre las familias de malware más frecuentes que utilizan la CDN de Discord para descargar una carga útil de la siguiente etapa, incluidos ladrones como RedLine, Vidar, Agent Tesla y Umbral.
Además de eso, algunas de las familias de malware comunes que se han observado usando webhooks de Discord son Mercurial Grabber, Stealerium, Typhon Stealer y Venom RAT.
«El abuso de la CDN de Discord como mecanismo de distribución de cargas útiles de malware adicionales muestra la adaptabilidad de los ciberdelincuentes para explotar las aplicaciones colaborativas para su beneficio», dijeron los investigadores.
«Las APT son conocidas por sus ataques sofisticados y dirigidos, y al infiltrarse en plataformas de comunicación ampliamente utilizadas como Discord, pueden establecer de manera eficiente puntos de apoyo a largo plazo dentro de las redes, poniendo en riesgo la infraestructura crítica y los datos confidenciales».
Fuente: https://thehackernews.com
