Эксперты компании Sophos подготовили доклад о том, как хакеры злоупотребляют CDN Discord. По их словам, распространение малвари через Discord становится все более популярным, и на сегодня около 4% всей малвари, защищенной TLS (а таковой насчитывается примерно 46% от общего количества вредоносов), взаимодействует с Discord. И только за последние два месяца продукты Sophos продемонстрировали в 140 раз больше срабатываний, чем за аналогичный период 2020 года.
Дело в том, что Discord управляет собственной сетью доставки контента (Content Delivery Network, CDN), чтобы пользователи могли загружать файлы и обмениваться ими друг с другом, а также предоставляет API для доступа к сервису. В итоге злоумышленники видят в этом потенциальный канал для распространения вредоносов, а также бесплатную инфраструктуру.
«Мы видели значительное количество вредоносных программ, размещенных в собственной CDN Discord, а также вредоносные программы, взаимодействующие с API Discord для отправки и получения данных», — рассказывают специалисты.
По данным Sophos, хакеры используют Discord для обслуживания, распространения и контроля своей малвари, чаще всего, нацеленной на пользователей все того же Discord. Некоторые из таких вредоносов связаны с онлайн-играми, включая Fortnite, Minecraft или Roblox, что совсем неудивительно, учитывая основную аудиторию мессенджера.
Исследователи пишут, что обнаружили даже читерские инструменты, которые интегрируются с Discord (они позволяют, например, спровоцировать «падение» игры у другого игрока), но большая часть малвари все же ориентирована на кражу данных (в том числе учетных) и личной информации. Так, исследователи выявили несколько семейств вымогателей, размещенных в Discord CDN, а также многочисленные вредоносные APK для Android, включая спайварь и приложения для кражи данных.
Авторы отчета заявляют, что незадолго до его публикации в CDN Discord насчитывалось более 4700 активных уникальных URL-адресов, указывающих на вредоносные EXE-файлы для Windows.
Когда эксперты сообщили о результатах своих исследований разработчикам Discord, компания отреагировала было и удалила обнаруженную малварь. Однако авторы доклада отмечают, что новые вредоносы появляются постоянно, и это ставит под сомнение эффективность такого подхода.
«Хотя Discord имеет определенные возможности для обнаружения вредоносных программ, многие типы вредоносного контента остаются незамеченными, — резюмируют в компании. — Когда пользователя ловят, он может уничтожить свою учетную запись и создать новую. Discord в значительной степени полагается на жалобы самих пользователей, но когда архитектура Discord используется для атак, которые нацелены не на сообщество пользователей Discord, они могут месяцами оставаться незамеченными».