Gdy ludzie na całym świecie zwrócili się w stronę gier wideo, aby mieć zajęcie w okresie blokady podczas pandemii, cyberprzestępcy zauważyli to i rozpoczęli nowe kampanie skierowane do graczy zgodnie z nowymi badaniami firmy Zscaler. Ataki te często wykorzystują popularność niektórych gier, takich jak Among Us, aby nakłonić graczy do pobrania fałszywych wersji, które obsługują szkodliwe oprogramowanie. Jednak cyberprzestępcy zaczęli również wdrażać oprogramowanie ransomware, osoby kradnące dane uwierzytelniające i kopacze kryptowalut również w celu atakowania graczy. Wspólny dla wielu z tych nowych kampanii jest fakt, że cyberprzestępcy zaczęli wykorzystywać platformę czatu grupowego Discord jako CDN do hostowania swoich złośliwych ładunków. Chociaż korzystanie z usługi do hostowania ładunków nie jest niczym nowym, liczba cyberprzestępców wzrosła w ciągu ostatniego roku. Na przykład osoba atakująca może przesłać złośliwy plik na kanał Discord i udostępnić jego publiczny link innym osobom korzystającym z usługi oraz tym, którzy z niej nie korzystają. Co gorsza, plik przesłany z Discord jest tam na zawsze, więc nawet jeśli atakujący usunie plik udostępniony za pośrednictwem usługi, jego link nadal może zostać użyty do pobrania złośliwego pliku.
Dyskord CDN
W nowym raporcie zespół ThreatLabZ firmy Zscaler wyjaśnił, w jaki sposób jego badacze zaobserwowali wiele ładunków, w tym oprogramowanie ransomware Epsilon, narzędzie do kradzieży Redline, koparkę XMRig i narzędzia do kopania tokenów Discord udostępniane za pomocą usługi. Wiele złośliwych plików używanych w tych kampaniach jest nazywanych pirackimi lub oprogramowaniem do gier, aby nakłonić graczy do ich pobrania. Cyberprzestępcy używają również ikon plików związanych z popularnymi grami, aby nakłonić użytkowników do ich otwarcia. Jednocześnie napastnicy wykorzystują Discord do komunikacji w zakresie dowodzenia i kontroli (C&C), jak widzieliśmy w zeszłym roku w przypadku nowej wersji trojana AnarchyGrabber. Dla tych, którzy nie są zaznajomieni, serwery C&C to zdalne hosty używane do wysyłania poleceń szkodliwego oprogramowania do uruchomienia na zainfekowanym komputerze. W swoim raporcie na ten temat Avinash Kumar, Aditya Sharma i Abhay Kant Yadav z firmy Zcaler wyjaśnili, w jaki sposób rosnąca popularność Discorda poza grami i jego możliwości CDN sprawiły, że usługa ta stała się popularna wśród cyberprzestępców, mówiąc: „Discord to przede wszystkim platforma dyskusyjna przeznaczona do graczy i staje się coraz bardziej popularny wśród innych społeczności zawodowych do wymiany informacji. Obserwujemy wzrost wykorzystania aplikacji Discord do dostarczania złośliwych plików przez atakujących. Ze względu na statyczną usługę dostarczania treści, wśród twórców zagrożeń bardzo popularne jest umieszczanie złośliwych załączników, które pozostają publicznie dostępne nawet po usunięciu prawdziwych plików z Discord. "