Amsterdam, 22 februari 2021 - Het
Zscaler ThreatLabZ-team heeft ontdekt dat Discord CDN een populaire keuze is voor het hosten van kwaadaardige payloads. Discord is een chat-applicatie waarop gebruikers met elkaar kunnen praten in realtime. Met name gamers gebruiken Discord om met elkaar te communiceren middels spraakberichten, chatberichten en videocalls, en om bestanden met elkaar delen. Sinds de start van de pandemie is het internet, en dus ook applicaties zoals Discord CDN, een centraal onderdeel van ons leven geworden. Niet alleen voor werk, maar ook om video’s te streamen, games te spelen, virtueel samen te komen, te shoppen en nog veel meer.
Ook criminelen zijn zich hiervan bewust en maken dan ook veelvuldig gebruik van services zoals Discord, om kwaadaardige bestanden te distribueren en informatie te stelen. Deze CDN-service is opgericht als content distributienetwerk. Er zijn recentelijk echter ook aanzienlijke risico’s aan het licht gebracht. Zo kan een aanvaller bijvoorbeeld een kwaadaardige file uploaden op een Discord-kanaal en de publieke links delen met anderen. De downloadbare content is zelfs beschikbaar voor gebruikers die Discord niet gebruiken. Daarnaast bestaat een bestand dat vanuit Discord wordt verzonden voor altijd. Zelfs als een aanvaller het bestand in Discord verwijdert, is de inhoud achter de link nog steeds toegankelijk en kan deze worden gebruikt om schadelijke bestanden te downloaden.
De belangrijkste bevindingen uit dit onderzoek zijn:
- Verschillende campagnes zijn afhankelijk van de cdn.discordapp.com service voor hun infectieketen;
- Cybercriminelen gebruiken Discord CDN om kwaadaardige files en command-and-control (C&C)-communicatie te hosten;
- Kwaadaardige files worden hernoemd naar illegale of gaming-software om gamers te misleiden;
- Ook de file-iconen zijn gerelateerd aan gaming-software om gamers te misleiden;
- Verschillende malware-categorieën, zoals ransomware, stealers en cytominers, worden bediend via de CDN-infrastructuur van de Discord-app.
Het gebruik van Discord om payloads te hosten is niet nieuw. Een campagne gebruikt daarbij Discord-services om een URL the vormen via welke kwaadaardige payloads worden gehost. Deze URL’s worden meestal gebruikt in spam e-mails waarin gebruikers met legitiem uitziende content worden misleid om next-stage payloads te downloaden. Een dergelijke link kan er bijvoorbeeld als volgt uitzien:
https://cdn.discordapp.com/attachments/ChannelID/AttachmentID/filename.exe
Conclusie
Discord is in eerste instantie een chat-platform voor gamers, maar wint snel aan populariteit binnen andere groepen voor het delen van informatie. Zscaler observeert echter ook een toename in het gebruik van de Discord app door criminelen die kwaadaardige files delen. Vanwege de statische content is de distributie-service zeer populair onder criminelen om kwaadaardige bijlagen te hosten die openbaar toegankelijk blijven, zelfs na het verwijderen van daadwerkelijke bestanden uit Discord.
Het Zscaler ThreatLabZ-team zal op Discord gebaseerde malware-campagnes blijven volgen om de informatie te delen en om onze klanten te beschermen.
Voor meer informatie en de technische analyse, lees dit blog:
https://www.zscaler.com/blogs/security-research/discord-cdn-popular-choice-hosting-malicious-payloads
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange bescheremt duizenden klanten van cyberaanallen en dateverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Berend Sikkema
E-mail:
bsikkema@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
Telefoon: 0317 410 483
E-mail:
zscaler@whizpr.nl