Phần mềm độc hại Discord là gì? (2024)

8 Tháng Bảy, 2021 By Nick Anderson Miễn bình luận 5 phút

Nếu có một điều bạn có thể mong đợi về phần mềm độc hại là nó nhắm mục tiêu vào các nền tảng đang hoạt động. Nếu một nền tảng có số lượng lớn người dùng hoạt động, phần mềm độc hại rất có thể sẽ tìm được đường đi của nó. Điều này cũng đúng với Discord, nơi ransomware đã và đang thực hiện nhiều đợt lây nhiễm cho mọi người. Phần mềm độc hại Discord là gì? Đây là những gì bạn cần biết để giữ cho mình được bảo vệ.

Tại sao Discord lại phổ biến?

Discord là một ứng dụng trò chuyện được nhiều game thủ yêu thích nhất. Tuy nhiên, nó không chỉ là một công cụ giao tiếp bằng giọng nói mà còn có thể tổ chức các cộng đồng. Discord là một nền tảng phức tạp nơi bạn có thể tạo cộng đồng (được gọi là máy chủ), thiết lập các kênh chuyên dụng trong mỗi cộng đồng để tạo nhóm thảo luận và gửi văn bản, video, âm thanh và tệp đính kèm.

Nó được các game thủ ưa chuộng nhờ nhiều tính năng như phát sóng trò chơi trực tiếp, chia sẻ màn hình, biểu tượng cảm xúc tùy chỉnh. Nhưng quan trọng hơn, giao tiếp bằng giọng nói của Discord không ảnh hưởng đến hiệu suất, điều này rất quan trọng khi chơi nhiều người chơi trực tuyến cạnh tranh.

Kể từ khi được giới thiệu vào năm 2015, Discord đã phát triển thành nền tảng có 150 triệu người dùng hoạt động. Nó sử dụng miễn phí nhưng cung cấp gói đăng ký cao cấp có tên Discord Nitro. Việc đăng ký mang lại những lợi ích như sử dụng biểu tượng cảm xúc tùy chỉnh trên bất kỳ máy chủ nào và gửi các tệp lớn hơn.

Phần mềm độc hại ảnh hưởng đến Discord như thế nào

Phần mềm độc hại thường dựa vào lỗi của con người để vượt qua mà không bị phát hiện, chẳng hạn như khiến bạn mở một liên kết có vẻ vô hại. Phần mềm độc hại ảnh hưởng đến Discord đang lợi dụng chức năng của nền tảng để lưu trữ và phân phối các liên kết độc hại.

Discord cho phép người dùng chia sẻ ảnh và video. Nó được tải lên CDN (Mạng phân phối nội dung) của Discord và hiển thị cho bạn qua một liên kết. Bạn không thấy URL nhưng nó sẽ đưa bạn đến URL được lưu trữ trên Discord nếu bạn nhấp vào ảnh được chia sẻ. Bất kỳ ai có liên kết đều có thể mở và xem tệp đính kèm ngay cả khi họ không phải là người dùng Discord.

Những kẻ xấu đang khai thác nó để làm xáo trộn các tệp đính kèm có hại lây nhiễm vào thiết bị của bạn khi bạn nhấp vào chúng. Discord tương đối mới và được thúc đẩy bởi cộng đồng. Các vòng kết nối xã hội tạo ra cảm giác tin cậy và có thể bị lợi dụng. Điều đáng lo ngại hơn là phần mềm độc hại vẫn tồn tại trên CDN của Discord ngay cả khi người dùng đã xóa liên kết ban đầu. Và do tính năng nén nên Discord gặp khó khăn hơn trong việc phát hiện các tệp đính kèm độc hại đó.

Ví dụ về phần mềm độc hại Discord

Nghiên cứu được thực hiện bởi Cisco đã báo cáo một số cách mà chức năng cốt lõi của Discord đang bị lạm dụng cho các mục đích xấu.

Trong một ví dụ, nghiên cứu cho thấy một email độc hại có vẻ chứa tệp đính kèm PDF nhưng thực chất lại là một hình ảnh. URL bên dưới sẽ đưa bạn đến tệp ISO được lưu trữ trên CDN của Discord. Tệp ISO chứa tệp thực thi tải xuống phần mềm độc hại Formbook, được thiết kế để lấy cắp thông tin từ thiết bị của người dùng, chẳng hạn như login thông tin xác thực.

Chức năng CDN cũng cho phép kẻ tấn công lưu trữ các phần khác của phần mềm độc hại; hãy coi nó như giai đoạn 2 của quá trình tiêm phần mềm độc hại. Trong ví dụ này, RAT được xác định sau khi tải trọng cuối cùng được lấy từ CDN. Phần mềm độc hại Trojan truy cập từ xa (RAT) kết nối với trung tâm chỉ huy để nhận hướng dẫn tấn công. Nhiều thiết bị bị nhiễm phần mềm độc hại nói trên có thể tạo ra một botnet, sau đó có thể được sử dụng cho các cuộc tấn công DDoS.

Webhook là một phần của API Discord cho phép các nhà phát triển liên kết các ứng dụng khác với Discord để gửi văn bản và cập nhật tới máy chủ trong Discord. Những kẻ tấn công đang sử dụng webhooks để chuyển tiếp thông tin từ các máy tính bị nhiễm. Báo cáo lưu ý rằng việc sử dụng webhook để lọc dữ liệu rất dễ dàng và không bị phát hiện vì nó hòa hợp với Discord. HTTPS giao thông.

Các loại phần mềm độc hại ảnh hưởng đến người dùng Discord

của Zscaler nghiên cứu đã xác định bốn loại phần mềm độc hại hoặc các cuộc tấn công ảnh hưởng đến người dùng trên Discord:

1. Phần mềm tống tiền Epsilon
2. Kẻ đánh cắp đường đỏ
3. Công cụ khai thác XMRig
4. Người lấy mã thông báo

XMRig là một phần mềm độc hại khai thác tài nguyên máy tính. Sau khi lây nhiễm vào thiết bị của bạn, nó sẽ lấy tài nguyên để khai thác và kết nối với trung tâm chỉ huy. Một chương trình khai thác sẽ có tác động đáng kể đến hiệu suất và có thể nhận thấy ngay lập tức. Nếu bạn sử dụng Discord và nhận thấy hiệu suất giảm không thể giải thích được, hãy chạy quét chống vi-rút.

Công cụ khai thác cũng vô hiệu hóa một số chương trình có thể có trên thiết bị của bạn, chẳng hạn như các trò chơi phổ biến. Nó cũng sẽ chặn Trình quản lý tác vụ để bạn không thể xác định quá trình nào đang lấy tài nguyên.

Cuối cùng, những kẻ lấy mã thông báo đang cố gắng trao quyền kiểm soát tài khoản của bạn cho kẻ tấn công. Token được sử dụng để xây dựng phiên cho người dùng. Tài khoản của bạn có thể bị xâm phạm nếu ai đó nắm giữ mã thông báo của bạn. Bạn có nhớ webhook không? Những kẻ tấn công đang sử dụng chúng để lấy trộm mã thông báo từ người dùng trở lại kẻ tấn công.

Gần đây chúng tôi đã thảo luận trong blog làm thế nào một Cuộc tấn công ransomware làm tê liệt nguồn cung cấp nhiên liệu của Mỹ. Điều này đặc biệt nguy hiểm vì ransomware như Epsilon mã hóa dữ liệu trên thiết bị của bạn. Nó giữ dữ liệu của bạn làm con tin để đổi lấy tiền chuộc. Epsilon sử dụng CDN của Discord để lấy thông báo đòi tiền chuộc – đó là mức độ lạm dụng mà nền tảng này đang phải trải qua.

Kết luận

Mặc dù Discord cho biết họ tiếp tục theo dõi phần mềm độc hại và hành động trên các liên kết được người dùng báo cáo nhưng phần mềm độc hại vẫn tồn tại trên nền tảng. Cuộc thảo luận xung quanh việc Discord bị lạm dụng như thế nào đã nói lên nhiều điều về thời gian mà tin tặc sẽ phát tán phần mềm độc hại. Một lần nữa, chúng tôi sẽ nhấn mạnh tầm quan trọng của việc đầu tư vào phần mềm chống vi-rút đủ mạnh để xử lý nhiều phần mềm độc hại khác nhau.

Thứ hai, chỉ mở tệp đính kèm từ những người bạn biết. Tin nhắn Discord Nitro miễn phí nghe có vẻ thú vị nhưng đó chỉ là một nỗ lực thông minh khác nhằm đưa phần mềm độc hại vào thiết bị của bạn.