Üstelik Discord web kancaları kullanılarak gözlemlenen yaygın kötü amaçlı yazılım ailelerinden bazıları Mercurial Grabber, Stealerium, Typhon Stealer ve Venom RAT’tır
Örnek, kar amacı gütmeyen dobro
“Nihai payload’ın tek amacının sistem hakkında bilgi edinmek olması, kampanyanın henüz erken aşamada olduğunu gösteriyor ki bu da Discord’un şu şekilde kullanılmasıyla da örtüşüyor: [command-and-control]” dedi araştırmacılar
Dosya açıldığında, bubi tuzaklı bir düğmeye tıklayarak alıcıları bağış yapmaları için kandıran Ukraynalı askerlere referanslar içerir; bu, başka bir PowerShell indirmek için bir PowerShell betiğini çıkarıp çalıştırmak üzere tasarlanmış Visual Basic Komut Dosyasının (VBS) yürütülmesiyle sonuçlanır
Araştırmacılar, “Discord’un CDN’sinin ek kötü amaçlı yazılım yükleri için bir dağıtım mekanizması olarak kötüye kullanılması, siber suçluların işbirlikçi uygulamalardan kendi çıkarları için yararlanma konusundaki uyarlanabilirliğini gösteriyor” dedi
“Ancak, aktörün gelecekte GitHub deposunda saklanan dosyayı değiştirerek güvenliği ihlal edilen sistemlere daha karmaşık bir kötü amaçlı yazılım parçası gönderebileceğini vurgulamak önemlidir
17 Ekim 2023Haber odasıKötü amaçlı yazılım / APT
Meşru altyapıyı kötü amaçlar için kötüye kullanan tehdit aktörlerinin son evriminde yeni bulgular, ulus devlet bilgisayar korsanlığı gruplarının kritik altyapıyı hedeflemek için sosyal platformdan yararlanma mücadelesine girdiğini gösteriyor
Discord, son yıllarda kârlı bir hedef haline geldi; içerik dağıtım ağını (CDN) kullanarak kötü amaçlı yazılım barındırmak için verimli bir zemin görevi görüyor, bilgi hırsızlarının hassas verileri uygulamadan çekmesine olanak tanıyor ve web kancaları aracılığıyla veri sızıntısını kolaylaştırıyor
Araştırmacılar, “Discord’un işlevlerinden yararlanan APT kötü amaçlı yazılım kampanyalarının potansiyel olarak ortaya çıkması, tehdit ortamına yeni bir karmaşıklık katmanı getiriyor” dedi
Trellix araştırmacıları Ernesto Fernández Provecho ve David Pastor Sanz, “Discord’un kullanımı büyük ölçüde herkesin internetten satın alabileceği veya indirebileceği bilgi hırsızları ve gaspçılarıyla sınırlıdır GitHub deposundan komut dosyası
“APT’ler karmaşık ve hedefli saldırılarıyla tanınıyor ve Discord gibi yaygın olarak kullanılan iletişim platformlarına sızarak ağlar içinde uzun vadeli dayanakları etkili bir şekilde oluşturarak kritik altyapıyı ve hassas verileri riske atabiliyorlar ”
Trellix’in analizi ayrıca SmokeLoader, PrivateLoader ve GuLoader gibi yükleyicilerin, RedLine, Vidar, Agent Tesla ve Umbral gibi hırsızlar da dahil olmak üzere bir sonraki aşama veri yükünü indirmek için Discord’un CDN’sini kullanan en yaygın kötü amaçlı yazılım aileleri arasında yer aldığını ortaya çıkardı Şu anda onu bilinen bir tehdit grubuyla ilişkilendiren hiçbir kanıt yok
PowerShell, son aşamada sistem meta verilerini filtrelemek için Discord web kancasından yararlanıyor ”
siber-2
Ancak siber güvenlik firması, Ukrayna’nın kritik altyapılarını hedef alan bir yapay nesnenin kanıtını bulduğunu söylediği için bu durum değişiyor olabilir