Discord: игровая площадка для хакеров из национальных государств, нацеленных на критическую инфраструктуру

Популярный мессенджер Discord, насчитывающий более 140 миллионов активных пользователей, в последнее время все чаще становится плацдармом для кибератак. Об этой тревожной тенденции свидетельствует новый отчет экспертов Trellix.

Согласно исследованию, злоумышленники используют возможности платформы для распространения вредоносного ПО, кражи конфиденциальных данных и атак на корпоративные системы. Недавно к использованию мессенджера подключились изощренные APT-группы, которые отличаются высокой эффективностью и скрытностью своих операций.

Один из ключевых способов атак – распространение опасных файлов и программ через CDN (сеть доставки контента) самого Discord. Файлы маскируются под безобидные приложения и поступают на компьютер жертвы с доверенного домена cdn.discordapp.com. Это позволяет обходить защиту антивирусов.

Другой распространенный метод – использование вебхуков. Хакеры создают скрипты, которые тайно передают личную информацию пользователей, пароли и файлы cookie браузеров на внешние серверы. При этом трафик маскируется под обычный обмен данными внутри мессенджера.

Вебхуки Discord легко настроить и использовать даже без глубоких познаний в программировании. Это экономически выгодный и наиболее доступный метод.

Особой популярностью у злоумышленников пользуются так называемые инфостилеры – троянские программы, специально созданные для кражи конфиденциальных сведений. Среди наиболее активных – Agent Tesla, RedLine, UmbraStealer. С их помощью группы похищают финансовые документы, пароли от криптокошельков, логины от других сервисов.

Тревожит тот факт, что хакеры, использующие APT, начали атаковать объекты критической инфраструктуры – государственные учреждения, энергетические и промышленные предприятия, сотрудники которых не отстают от общих тенденций и пользуются Discord, например, для рабочих планерок.

Главная особенность продвинутых угроз — их способность длительное время оставаться незамеченными в системе жертвы. Устранить их довольно трудно, поэтому если атаки продолжат развиваться, в перспективе может пострадать национальная безопасность и экономика целых стран.

По мнению экспертов, Discord пока не предпринимает достаточных мер для борьбы с незаконной деятельностью. Блокировка отдельных подозрительных аккаунтов явно не решает проблему.

Специалисты предлагают несколько решений. В том числе:

1. Внедрить системы мониторинга трафика, чтобы вовремя выявлять вредоносную активность

2. Запретить новым и анонимным аккаунтам делиться файлами и ссылками

3. Применить методы машинного обучения, которые будут распознавать признаки взлома на ранней стадии.