Nowe zagrożenie w środowisku gamingowym – podszywa się pod Discorda

Izolacja społeczna spowodowana pandemią wpłynęła na wzrost popularności gier online, doprowadziło to do wzrostu liczby przestępców atakujących tę grupę demograficzną.

Najnowszymi próbami wykorzystania tego trendu są złośliwe pliki umieszczone na platformie Discord, mające na celu nakłonienie użytkowników do pobrania złośliwego oprogramowania.

Zagrożone są dane prywatne i dane kart kredytowych/płatniczych

Platforma Discord, pierwotnie stworzona dla graczy, ewoluowała, aby obecnie pełnić funkcję platformy społecznościowej, co w połączeniu z odnotowanym wzrostem popularności tworzy z niej idealny „watering hole”.

Chociaż umieszczanie złośliwego oprogramowania w Discordzie nie jest nowym działaniem, badacze odkryli szereg nowatorskich kampanii wykorzystujących malware:

• ransomware Epsilon
• XMRig miner
• różnego typu „info stealer” – Redline Stealer, TroubleGrabber i szeroka kategoria niezidentyfikowanych „Discord token grabbers”.

Ale dlaczego Discord? Przecież jest wiele platform tego typu…

Chodzi o CDN (Content Distribution/Delivery Network), który pierwotnie miał zapewniać tzw. zawartość statyczną dla graczy, czyli dostęp do plików w chmurze. Rozwiązanie to, zrodziło jednak znaczące ryzyka, np. atakujący może wgrać złośliwy plik na kanał Discorda i udostępnić jego publiczny link szerszej grupie odbiorców, również tym, którzy nie posiadają konta Discord! Co gorsze, nawet gdy wspomniany plik zniknie z kanału, link do pobrania nadal będzie aktywny…

Opisywane ataki najczęściej rozpoczynają się od kampanii phishingowych z wykorzystaniem „legitnie” wyglądających szablonów. Jako wektor ataku wykorzystywany jest adres URL stworzony w ramach usług Discord:

https: // cdn [.] Discordapp [.] Com / attachments / ChannelID / AttachmentID / filename [.] Exe

Kampanie zmieniają nazwy złośliwych plików na nazwy popularnego pirackiego oprogramowania lub oprogramowania gamingowego, a także używają ikon plików związanych z gamingiem, tak aby oszukać ofiary.

Przykładowe linki (IOC):

Epsilon Ransomware:

https://cdn.discordapp[.]com/attachments/599226424695455755/798932401216552974/READ_ME.hta

Redline Stealer:

hxxps://cdn.discordapp[.]com/attachments/789938122951098380/791391319288184832/Outwith.exe

XMRig Miner:

hxxp://cdn.discordapp[.]com/attachments/789938122951098380/791391327693832202/frost-miner-pro-v1.2.exe

więcej informacji – tutaj.

źródło https://www.zscaler.com/blogs/security-research/discord-cdn-popular-choice-hosting-malicious-payloads

W przypadku oprogramowania ransomware Epsilon Win32.Ransom.Epsilon wykonanie rozpoczyna się od umieszczenia plików .inf i .exe w folderze Windows / Temp na komputerze użytkownika. Złośliwe oprogramowanie zapewnia „persistence”, tworząc klucz rejestru na maszynie ofiary:

Następnie szyfruje dwukrotnie pliki, przy użyciu zmodyfikowanego AES w trybie CBC

oraz RC4 z dłuższym, bo 2048-bitowym kluczem, zamiast standardowego 256-bit.

Po zaszyfrowaniu plików, z domeny cdn.discordapp.com pobierana jest wiadomość dotycząca okupu:

Jednak, co ciekawe, Epsilon w tym wariancie nie używa żadnego modułu Command and Control (C2). Wszystkie operacje przeprowadzane są lokalnie.

Gdyby ktoś chciał zrobić research we własnym zakresie, bardziej szczegółową listę IOC wraz z analizą techniczną znajdzie tutaj.

— Rafał Piasecki