وبلاگ کسپرسکی آنلاین | سوءاستفاده‌ی مجرمان سایبری از API و CDN پلت‌فرم دیسکورد

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تارگت‌ بدافزارهای دیسکورد[1]فراتر از گیمرها می‌رود:

پلت‌فرم دیسکورد مشکل بدافزاری دارد. گرچه این سرویس را غالباً گیمرها استفاده می‌کنند اما کاشف بعمل آمده که حتی کاربرانی که هرگز با دیسکورد در تعامل نبوده‌اند نیز در خطرند. Discord سرورها یا گروه‌های خاص یا جوامعی از کاربران را ایجاد می‌کند که می‌توانند به سرعت برای همدیگر پیام صوتی، متنی و سایر پیام‌های رسانه‌ای ارسال کنند. محققین می‌گویند تعداد شناسایی بدافزارهای دیسکورد در مقایسه با سال گذشته سیر صعودی داشته. در گزارشی نشر شده توسط Sophos اینطور ادعا می‌شود که رخدادها در مقایسه با 2020 حدود 140 برابر شده‌اند. مجرم اصلی در افزایش تعداد بدافزارها CDN (شبکه‌ی تحویل محتوا) و API (رابط برنامه‌نویسی اپلیکیشن) بوده است؛ دو ابزاری که مجرمان سایبری دارند بی وقفه از آن‌ها سوءاستفاده می‌کنند. CDN دیسکورد اینطور مورد استفاده قرار گرفته که میزبان بدافزارها شده و این درحالیست که API برای استخراج داده‌های سرقت‌شده و تسهیل کانال‌های کنترل و فرمان هکر توسط استفاده می‌شود.

از آنجایی که دیسکورد شدیداً توسط گیمرهای جوانی که فورتنایت، ماینکرفت و روبلاکس بازی می‌کنند احاطه شده است، تعداد بدافزارهای شناور بسیار بیشتر از آن است که سرسری‌شان بگیریم (برای مثال استفاده از کد برای کرش کردن گیم حریف). اما آمار سارقین اطلاعات و تروجان‌های دسترسی ریموت به مراتب بیشتر نگران‌کننده است.

سارقین (RATهای) اطلاعات محرمانه در پلت‌فرم دیسکورد

طی گزارش بدست آمده، «درصد بزرگی از بدافزارهای یافت‌شه تمرکشان بر روی سرقت داده‌های شخصی و محرمانه است طیف وسیعی از بدافزارهای سارق داده و نیز کلی RAT متنوع. عاملین تهدید در پس این عملیات‌ها برای پخش بدافزارهای سرقت داده از مهندسی اجتماعی استفاده کردند و بعد برای مورد هدف قرار دادن کاربران دیگر دیسکورد نیز از اطلاعات محرمانه‌ و جمع‌شده‌ی دیسکورد قربانیان استفاده کردند». تیم محققین همچنین بدافزارهای از رده‌خارج هم پیدا کرند شامل جاسوس‌افزارها و سارقین اطلاعات به میزبانی Discord CDN. CDN مقایسه تعداد یوآرال‌هایی که میزبانی بدافزارها را روی CDN دیسکورد می‌کنند مشکل پیش رو را به وضوح پیش چشم ترسیم می‌کند. Sophos گزارش داد که 9500 یوآرال آلوده روی CDN دیسکورد در ماه آوریل شناسایی شده است. در ماه‌های آتی این تعداد حتی به 17 هزار یوآرال نیز خواهد رسید. به نقل از این گزارش، «و این بدافزارهایی را که داخل دیسکورد میزبانی نشدند اما به طرق مختلف به رابط‌های اپ دیسکورد نفوذ کردند مستثنی می‌کند. و درست قبل از زمان انتشار بیش از 4700 از این یوآرال‌ها که فایل آلوده Windows .exe را نشانه رفته بودند همچنان فعال ماندند». Sophos اشاره می‌کند که سرورهای دیسکورد در حقیقت ماشین‌های مجازی Google Cloud Elixir Erlang هستند که به Cloudfare مجهز بوده و می‌توانند برای هر کاربری باز باشند؛ یا حتی برای پریمیومی‌ها «خصوصی» باشند و برای دعوت دیگران برای ملحق شدن از کلیدها استفاده کنند. CDN دیسکورد همان ذخیره‌گاه کلود گوگل است که به نقل از گزارشات باعث می‌شود فایل‌های به اشتراک گذاشته‌شده در اینترنت قابل‌دسترسی شوند.

طعمه چرب و نرم دیسکورد

این معماری منعطف دقیقاً همانیست که مجرمان سایبری به دنبالش هستند. به نقل از گزارشات، «وقتی فایل‌ها در دیسکورد آپلود می‌شوند می‌توانند تا الی‌الابد بمانند مگر آنکه گزارش شده یا حذف شوند». کانال چت دیسکورد هم سیستم تحویل بی‌نظیری برای پیام‌های فیشینگ و ارسال لینک‌های مخرب ارائه می‌دهد. بسیاری از فریب‌های بکاررفته در دیسکورد روش‌های «جرزنی‌» در بازی را تضمین می‌دهند اما در عوض به سارقین کلی اطلاعات محرمانه ارائه می‌دهند. خود دیسکورد تا به حال چندین بار مورد حمله سارقین داده قرار گرفته است. در ماه ژانویه سه بسته نرم‌افزاری آلوده در ذخیره کد محبوب جاوااسکریپت پیدا شده که شامل توکن دیسکورد می‌شد. سارقین اطلاعات توانسته بودند به اطلاعات شخصی کاربران دسترسی پیدا کنند. این اولین باری نیست که دیسکورد مشکل امنیتی پیدا می‌‌کند و خبرش همه‌جا می‌پیچد. در ماه آوریل گزارشی آمد که هشدار می‌داد دیسکورد و اسلک هر دو دارند توسط RATها و سارقین اطلاعات به طور چشمگیری مورد سوءاستفاده قرار می‌گیرند. و در ماه فوریه هم Zscaler THreatLabZ در خصوص ایمیل‌های اسپم مرتبط با پاندمی کرونا هشدار داد. این ایمیل‌های اسپم در دیسکورد زیاد به چشم می‌خورد و هدفشان هم فریب کاربران بود برای دانلود بدافزار کریپتوماینر XMRig. ماه می، بدافزار سرقت داده موسوم به PandaStealer کمپین خود را علیه دیسکورد به راه انداخت. دیسکورد به همه این گزارشات آگاه است و سعی دارد به رفع همه مسائل امنیتی اقداماتی واکنش‌های مثبت نشان دهد. این پلت‌فرم دارد روی جنبه امنیتی خود کار می‌کند اما با توجه به اینکه سازمان‌های بیشتری دارند به این سرویس روی می‌آورند همچنان باید از تهدیدهایی که روی این پلت‌فرم در کمینند بر حذر بود. به نقل از Sophos، «سازمان‌ها همینطور دارند به دیکسورد روی می‌آورند چون پلت‌فرم مشارکتی ایست که کم‌هزینه است و از این رو شاید بیشتر مستعد دریافت حملات سایبری باشد. حتی اگر کاربر دیسکوردی در خانه یا دفتر کار ندارید، سوءاستفاده از دیسکورد توسط اپراتورهای بدافزار را یک تهدید بدانید».

[1] Discord یک نرم‌افزار برقراری تماس تلفنی در بستر شبکه برای سیستم عامل‌های ویندوز، آی‌اواس، اندروید، لینوکس و مک‌اواس و همچنین قابل اجرا در مرورگر وب است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.