До конца 2023 года Discord перейдет на использование временных ссылок для файлов, срок действия которых будет ограничен. Эта мера призвана затруднить использование CDN (Content delivery network, «Сеть доставки контента») компании злоумышленниками, которые часто злоупотребляют CDN с целью размещения и распространения малвари.
«Discord меняет свой подход к URL-адресам вложений, чтобы создать более безопасный и надежный сервис для пользователей. В частности, это поможет нашей команде безопасности ограничить доступ к нежелательному контенту и в целом сократит количество вредоносных программ, распространяемых с помощью нашей CDN, — сообщают представители компании. — Это никак не повлияет на пользователей, которые обмениваются контентом в клиенте Discord. Любые ссылки в клиенте будут обновляться автоматически. Если пользователи применяют Discord для размещения файлов, мы рекомендуем им найти более подходящий сервис».
Отмечается, что Discord-разработчики могут заметить небольшие изменения, но компания «тесно сотрудничает с сообществом» по этим вопросам. Ожидается, что изменения будут внедрены до конца 2023 года, и в ближайшие недели разработчики получат более детальную информацию.
Издание Bleeping Computer рассказывает, что после того как изменения в файловом хостинге (описываемые Discord как принудительная аутентификация) вступят в силу до конце текущего года, все ссылки на файлы, загруженные на серверы Discord, будут устаревать через 24 часа.
Так, теперь URL-адреса будут содержать три новых параметра, добавляющих временные метки истечения срока действия и уникальные подписи, которые будут действовать до окончания срока действия ссылок, мешая использованию CDN Discord для постоянного размещения файлов.
Хотя такие параметры добавляются к ссылкам Discord уже сейчас, они еще не заработали в принудительном порядке. Также отмечается, что срок действия ссылок, распространяемых вне серверов Discord, истечет только после того, как компания развернет изменения в своей системе аутентификации.
«Для повышения безопасности CDN Discord в URL-адресах CDN вложений добавлены три новых параметра URL: ex, is и hm. После введения новых правил аутентификации в конце этого года ссылки с заданной подписью (hm) будут оставаться действительными до истечения срока действия (ex), — объясняют разработчики Discord. — Чтобы получить доступ к CDN-ссылке вложения после истечения срока ее действия, вашему приложению необходимо будет получить новый CDN URL . API будет автоматически возвращать действительные, не истекшие URL при обращении к ресурсам, содержащим URL CDN вложений, например, при получении сообщения».
Эти изменения вряд ли можно назвать неожиданными, ведь серверы Discord уже давно служат рассадником вредоносной активности, связанной самыми разными хакерскими группировками. Так, возможности постоянного хостинга файлов посредством Discord часто использовались для распространения малвари и слива данных из взломанных систем с помощью веб-хуков.
Масштаб проблемы хорошо иллюстрирует свежий отчет компании Trellix, по статистике которой, URL-адреса CDN Discord использовались как минимум 10 000 вредоносными программами для доставки полезных нагрузок второго этапа на зараженные системы. В основном это были загрузчики и скрипты для установки малвари, включая RedLine, Vidar, AgentTesla, zgRAT и Raccoon.
Также, по данным Trellix, за последние несколько лет различные семейства малвари (включая Agent Tesla, UmbralStealer, Stealerium и zgRAT) регулярно использовали веб-хуки Discord для кражи конфиденциальной информации со взломанных устройств, в то числе, cookie-файлов браузеров и данных криптовалютных кошельков.