La guerra (non così) segreta su Discord

Quando il malware è usato per colpire gli attori stessi delle minacce

Gli esperti di CyberArk Labs hanno scoperto un nuovo malware chiamato Vare che sta circolando su Discord, un servizio di messaggistica popolare. Secondo i ricercatori, il malware è stato utilizzato per attaccare nuovi utenti potenzialmente vulnerabili tramite tecniche di social engineering. Questo malware è collegato a un nuovo gruppo chiamato “Kurdistan 4455” con sede nella Turchia meridionale ed è descritto come in fase ancora iniziale.

All’introduzione di Discord Nitro si attribuisce la causa diretta della diffusione del malware sulla piattaforma. A fronte di un canone mensile, Nitro offre agli utenti la possibilità di inviare file più grandi, scrivere messaggi più lunghi, godere di qualità video superiori e molto altro ancora. La sua popolarità tra gli utenti ha spinto alcuni di loro a cercare di acquisirlo senza pagare, ricorrendo anche a metodi illegali, come il brute-forcing delle chiavi regalo e il social engineering.

Alcuni utenti hanno intrapreso un’azione ancor più rischiosa andando a cercare di trarre profitto dai malware colpendo altri utenti presenti sulla famosa piattaforma Discord, rubando i dati della carta di credito e acquistando da remoto all’insaputa della vittima le chiavi regalo Discord Nitro, attraverso il quale ottenere servizi premium da rivendere a scopo di lucro. I ricercatori degli CyberArk Labs hanno scoperto le prove che il gruppo Kurdistan 4455 mirava ad appropriarsi dei risultati ottenuti da altri gruppi di malware prendendo di mira questi ultimi anziché gli utenti, raccogliendo così un facile successo con uno sforzo minimo.

Usare Discord come infrastruttura

Discord è amato dagli sviluppatori grazie alle sue API facili da usare e ben conosciute, e vanta numerose funzionalità che vengono utilizzate dagli sviluppatori per integrare i loro strumenti e sviluppare bot per i loro server con facilità. Gli aggressori hanno trovato il modo di abusare di queste funzionalità, rendendo lo sviluppo di malware più facile e più difficile da rilevare e mitigare.

Tra tanti, Vare è un esempio perfetto di come repository disponibili pubblicamente vengano utilizzati per aiutare i gruppi di criminalità informatica e di come gli aggressori possano sfruttare l’infrastruttura di Discord in modo malevolo. E purtroppo, come si evince dalla cerca sull’attività di GitHub su questi argomenti, il fenomeno non fa che crescere di popolarità.

Essendo Discord una piattaforma particolarmente popolare tra i developer, se il malware riuscisse a infettare i loro endpoint. Questi ultimi potrebbero potenzialmente mettere a rischio le loro organizzazioni.

Con la crescente diffusione di Discord, possiamo solo aspettarci un aumento della complessità e delle capacità delle minacce informatiche e ulteriori approcci quando si tratta di utilizzare l’infrastruttura di Discord. Inoltre, approcci simili potrebbero essere usati per utilizzare altri servizi di chat online come Slack e Microsoft Teams.

Un’evoluzione che abbiamo già osservato è il passaggio a linguaggi compilati come Rust e C++ per le versioni standalone del malware Discord: questi rendono le analisi più lunghe e consentono agli aggressori di muoversi più rapidamente e di utilizzare con relativa facilità strumenti di offuscamento e packing più diffusi.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli