Angreifer sprengen Discord, Slack mit Malware in die Luft

Cyber Security News

Eine Suche im Discord-Netzwerk ergab 20.000 Viren-Ergebnisse, fanden Forscher heraus.

Workflow- und Collaboration-Tools wie Slack und Discord wurden von Bedrohungsakteuren infiltriert, die ihre legitimen Funktionen missbrauchen, um die Sicherheit zu umgehen und Infodiebe, Remote-Access-Trojaner (RATs) und andere Malware auszuliefern.

Die pandemiebedingte Verlagerung von Geschäftsprozessen auf diese Kollaborationsplattformen im Jahr 2020 und vorhersehbar im Jahr 2021 hat eine neue Stufe cyberkrimineller Expertise für Angriffe auf diese Plattformen eingeläutet.

Ciscos Cybersecurity-Team sagte in einem Bericht über den Missbrauch von Collaboration-Apps in dieser Woche, dass Bedrohungsakteure im vergangenen Jahr zunehmend Apps wie Discord und Slack verwendet haben, um Benutzer zum Öffnen bösartiger Anhänge zu verleiten und verschiedene RATs und Stealer zu implementieren, darunter Agent Tesla, AsyncRAT, Formbook und andere.

“Eine der größten Herausforderungen bei der Verbreitung von Malware ist es, sicherzustellen, dass die Dateien, Domänen oder Systeme nicht heruntergenommen oder blockiert werden”, erklären die Talos-Forscher in ihrem Bericht. “Indem sie diese Chat-Anwendungen nutzen, die wahrscheinlich erlaubt sind, beseitigen sie mehrere dieser Hürden und erhöhen die Wahrscheinlichkeit, dass der Anhang den Endbenutzer erreicht, erheblich.”

Content-Delivery-Network-Missbrauch

Die Forscher erklärten, dass Slack, Discord und andere Collaboration-App-Plattformen Content Delivery Networks (CDNs) verwenden, um die Dateien zu speichern, die innerhalb der Kanäle hin und her geteilt werden. Als Beispiel verwendet Talos das Discord CDN, das über eine fest kodierte CDN-URL von überall und von jedem im Internet zugänglich ist.

“Diese Funktionalität ist nicht spezifisch für Discord. Andere Kollaborationsplattformen wie Slack haben ähnliche Funktionen”, berichtet Talos. “Dateien können auf Slack hochgeladen werden, und Benutzer können externe Links erstellen, über die auf die Dateien zugegriffen werden kann, unabhängig davon, ob der Empfänger überhaupt Slack installiert hat.”

Der Trick, so das Team, besteht darin, Benutzer dazu zu bringen, auf einen bösartigen Link zu klicken. Sobald der Link nicht mehr von der Sicherheitskontrolle erkannt wird, muss der Mitarbeiter nur noch glauben, dass es sich um eine echte Geschäftskommunikation handelt – eine Aufgabe, die innerhalb der Grenzen eines Collaboration-App-Kanals einfacher ist.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/07164822/Slack-public-link.png]

Das bedeutet auch, dass Angreifer ihre bösartige Nutzlast über verschlüsseltes HTTPS an das CDN liefern können, und dass die Dateien komprimiert werden, was den Inhalt weiter verschleiert, so Talos. Im vergangenen Jahr wurden viele gängige Komprimierungsalgorithmen beobachtet, darunter .ACE, .GZ, .TAR und .ZIP, sowie einige weniger gängige Typen wie .LZH.

“In den meisten Fällen ist die [messages] selbst sind konsistent mit dem, was wir in den letzten Jahren von Malspam gewohnt sind”, so Talos. “Viele der [messages] geben vor, mit verschiedenen finanziellen Transaktionen in Verbindung zu stehen und enthalten Links zu Dateien, die vorgeben, Rechnungen, Bestellungen und andere Dokumente zu sein, die für potenzielle Opfer von Interesse sind.”

Die Nachrichten wurden von den Angreifern in mehreren Sprachen verschickt, darunter Englisch, Spanisch, Französisch, Deutsch und Portugiesisch, fügten sie hinzu.

CDNs sind auch ein praktisches Werkzeug für Cyberkriminelle, um zusätzliche Schädlinge mit mehrstufigen Infektionstaktiken auszuliefern. Die Forscher sahen dieses Verhalten in der gesamten Malware und fügten hinzu, dass eine Discord CDN-Suche fast 20.000 Ergebnisse in VirusTotal lieferte.

“Diese Technik wurde häufig in Malware-Verteilungskampagnen verwendet, die mit RATs, Stealern und anderen Arten von Malware in Verbindung stehen, die typischerweise dazu verwendet werden, sensible Informationen von infizierten Systemen abzurufen”, erklärte das Talos-Team.

Das Team verwendete diesen Screenshot, um diese Art von Angriff auf Discord zu veranschaulichen. Er zeigt eine Malware der ersten Stufe, die einen ASCII-Blob von einem Discord CDN abrufen soll. Die Daten aus dem Discord CDN werden in die endgültige bösartige Nutzlast umgewandelt und per Fernzugriff injiziert, so der Bericht.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/07155216/screenshot-discord-cdn.png]

“Wie bei Remcos-Infektionen üblich, kommunizierte die Malware mit einem Command-and-Control-Server (C2) und exfiltrierte Daten über einen vom Angreifer kontrollierten DNS-Server”, so der Bericht weiter. “Die Angreifer erreichten Persistenz durch die Erstellung von Registry-Run-Einträgen, um die Malware nach Systemneustarts aufzurufen.”

Bei einer anderen Kampagne mit AsyncRAT sah der Malware-Downloader wie ein leeres Microsoft-Dokument aus, verwendete aber beim Öffnen Makros, um den Schädling auszulösen.

Discord-API für C2-Kommunikation verwendet

Die Discord-API hat sich für Angreifer zu einem effektiven Werkzeug entwickelt, um Daten aus dem Netzwerk zu exfiltrieren. Die C2-Kommunikation wird über Webhooks ermöglicht, die laut den Forschern entwickelt wurden, um automatisierte Nachrichten an einen bestimmten Discord-Server zu senden, der häufig mit zusätzlichen Diensten wie GitHub oder DataDog verknüpft ist.

“Webhooks sind im Wesentlichen eine URL, an die ein Client eine Nachricht senden kann, die wiederum diese Nachricht an den angegebenen Kanal sendet – und das alles, ohne die eigentliche Discord-Anwendung zu verwenden”, erklärten sie. Die Discord-Domäne hilft den Angreifern, die Exfiltration von Daten zu verschleiern, indem sie sie wie jeden anderen Datenverkehr aussehen lässt, der über das Netzwerk läuft, fügten sie hinzu.

“Die Vielseitigkeit und Zugänglichkeit von Discord-Webhooks macht sie zu einer klaren Wahl für einige Bedrohungsakteure”, heißt es in der Analyse: “Mit nur ein paar gestohlenen Zugangstoken kann ein Angreifer mit sehr geringem Aufwand eine wirklich effektive Infrastruktur für Malware-Kampagnen einsetzen. Der Grad der Anonymität ist für einige Bedrohungsakteure zu verlockend, um darauf zu verzichten.”

Dieser Kommunikationsfluss kann auch genutzt werden, um Angreifer zu alarmieren, wenn neue Systeme zur Verfügung stehen, die gekapert werden können, und liefert aktuelle Informationen über diejenigen, die sie bereits infiltriert haben, so Talos.

Ransomware und Discord

Das Team beobachtete auch Kampagnen im Zusammenhang mit Pay2Decrypt LEAKGAP-Ransomware, die die Discord-API für C2, Datenexfiltration und Bot-Registrierung nutzte, zusätzlich zu Discord-Webhooks für die Kommunikation zwischen Angreifer und Systemen.

“Nach erfolgreicher Infektion stehen dem Opfer die auf dem System gespeicherten Daten nicht mehr zur Verfügung und die folgende Lösegeldforderung wird angezeigt”, heißt es in dem Bericht. Sie stellten einen Screenshot der Erpresser-Notiz zur Verfügung, die Benutzer nach der Infektion erhalten:

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/07155854/ransom-note-collab-apps.png]

Discord generiert laut Talos für jeden Benutzer eine alphanumerische Zeichenkette oder ein Zugangstoken, das Angreifer stehlen können, um Konten zu kapern. Sie fügten hinzu, dass sie dies häufig bei Online-Spielen gesehen haben.

“Zum Zeitpunkt der Erstellung dieses Artikels implementiert Discord keine Client-Verifizierung, um eine Impersonation mittels eines gestohlenen Access-Tokens zu verhindern”, so Talos. “Dies hat dazu geführt, dass eine große Anzahl von Discord-Token-Stealern implementiert und auf GitHub und anderen Foren verbreitet wurde. In vielen Fällen geben sich die Token-Stealer als nützliche Hilfsprogramme im Zusammenhang mit Online-Gaming aus, da Discord eine der am häufigsten genutzten Chat- und Kollaborationsplattformen in der Gaming-Community ist.”

Diese Konten werden dann zur anonymen Auslieferung von Malware und für Social-Engineering-Zwecke verwendet, fügen sie hinzu.

So entschärfen Sie die Bedrohung durch Collaboration-Apps

Die Lösungen, ähnlich wie die Bedrohungen selbst, müssen nach Ansicht von Experten vielschichtig sein. Die Hauptverantwortung für mehr Sicherheit liegt laut Oliver Tavakoli, CTO von Vectra, jedoch bei den Plattformen selbst.

“Dieser Trend wird sich fortsetzen, bis die Anbieter solcher Kollaborations-Tools mehr Aufwand betreiben, um mehr Richtlinienkontrollen zum Sperren der Umgebung bereitzustellen und mehr Telemetrie zur Überwachung hinzuzufügen”, so Tavakoli gegenüber Threatpost. “Außerdem müssen die Sicherheitsanbieter aufsteigen und die Telemetrie nutzen, um Angriffe innerhalb dieser Kommunikationskanäle zu erkennen und zu blockieren.”

Auf der Unternehmensseite empfiehlt Mark Kedgley, CTO bei New Net Technologies, sich auf die Benutzerrechte zu konzentrieren.

“Um die Risiken zu mindern, ist ein stärkerer Fokus auf Least Privilege erforderlich, da es immer noch zu häufig vorkommt, dass Benutzer mit lokalen Administratorrechten arbeiten”, empfiehlt Kedgley. “E-Mail- und Office-Anwendungen bieten eine Reihe von gehärteten Einstellungen zur Bekämpfung von Malware und Phishing, die jedoch nicht von genügend Unternehmen genutzt werden. Änderungskontrolle und Schwachstellenmanagement als zentrale Sicherheitskontrollen sollten ebenfalls vorhanden sein.”

Aber ganz grundsätzlich: Wie kann von einem Unternehmen oder einem Anwender erwartet werden, dass er den Überblick über die Flut von Kommunikationskanälen behält, die die Mitarbeiter heute fieberhaft zu pflegen versuchen? Vereinfachung ist eine Möglichkeit, die Angriffsfläche einzuschränken und es den Benutzern zumutbar zu machen, auf die Sicherheit ihrer Interaktionen zu achten, rät Chris Hazelton von Lookout.

“Die meisten Unternehmen haben zu viele Kommunikationstools: E-Mail, Collaboration- und Messaging-Plattformen, Chats für Webkonferenzen und Textnachrichten auf Telefonen und Tablets”, so Hazelton. “Das bedeutet, dass die Benutzer überfordert sind, da sie über mehrere Plattformen hinweg mit verschiedenen oder manchmal auch denselben Personen kommunizieren. Dies führt zu einem geringeren Bewusstsein für die Risiken bei der gemeinsamen Nutzung von Kollaborationsplattformen und anderen Kommunikationstools.”

Haben Sie sich jemals gefragt, was in Untergrundforen für Cyberkriminalität vor sich geht? Finden Sie es am 21. April um 14 Uhr ET während einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/02/11100300/discord_mobile_app.jpg]

Einige Teile dieses Artikels stammen aus:
threatpost.com