La guerra (non così) segreta su Discord

La guerra (non così) segreta su Discord

Quando il malware è usato per colpire gli attori stessi delle minacce

I CyberArk Labs hanno scoperto un nuovo malware chiamato Vare, distribuito attraverso il popolare servizio di chat Discord. Secondo i ricercatori, Vare è stato utilizzato per colpire nuovi operatori malware utilizzando tattiche di social engineering, facendo leva sull’infrastruttura di Discord. Questo malware è collegato a un nuovo gruppo chiamato “Kurdistan 4455” con sede nella Turchia meridionale ed è descritto come in fase ancora iniziale.

Discord è un servizio di messaggistica molto popolare (simile a Slack) che conta più di 300 milioni di utenti attivi. Inizialmente concepito come piattaforma per le comunità di videogiocatori, la sua facilità d’uso e le sue funzionalità ne hanno esteso l’attrattiva a nuove community. 

Le origini del malware sulla piattaforma possono essere fatte risalire all’introduzione di Discord Nitro. A fronte di un canone mensile, Nitro consente agli utenti di inviare file più grandi e messaggi più lunghi, di avere una qualità di streaming video superiore e molto altro ancora.

Come per molte funzioni premium, Discord Nitro è diventato molto popolare tra gli utenti e ha spinto alcuni di loro a cercare di acquisirlo senza pagare, ricorrendo anche a metodi illegali, come il brute-forcing delle chiavi regalo e il social engineering.

Alcuni utenti hanno fatto un ulteriore passo avanti e hanno iniziato a utilizzare malware per guadagnare denaro prendendo di mira altre persone sulla piattaforma, rubando i dati della loro carta di credito e acquistando da remoto all’insaputa della vittima le chiavi regalo di Discord Nitro, che possono essere riscattate per ottenere il servizio premium, che gli attori rivendono a scopo di lucro. Dalle ricerche dei CyberArk Labs sull’attività della piattaforma, sono state trovate prove che il gruppo Kurdistan 4455 mira ad appropriarsi dei risultati ottenuti da altri gruppi di malware prendendo di mira questi ultimi anziché gli utenti, raccogliendo così un facile successo con uno sforzo minimo.

Usare Discord come infrastruttura

Discord è amato dagli sviluppatori grazie alle sue API facili da usare e ben conosciute, e vanta numerose funzionalità che vengono utilizzate dagli sviluppatori per integrare i loro strumenti e sviluppare bot per i loro server con facilità. Gli aggressori hanno trovato il modo di abusare di queste funzionalità, rendendo lo sviluppo di malware più facile e più difficile da rilevare e mitigare.

Tra tanti, Vare è un esempio perfetto di come repository disponibili pubblicamente vengano utilizzati per aiutare i gruppi di criminalità informatica e di come gli aggressori possano sfruttare l’infrastruttura di Discord in modo malevolo. E purtroppo, come si evince dalla cerca sull’attività di GitHub su questi argomenti, il fenomeno non fa che crescere di popolarità.

Essendo Discord una piattaforma particolarmente popolare tra i developer, se il malware riuscisse a infettare i loro endpoint. Questi ultimi potrebbero potenzialmente mettere a rischio le loro organizzazioni. 

Con la crescente diffusione crescita di Discord, possiamo solo aspettarci un aumento della complessità e delle capacità delle minacce informatiche e ulteriori approcci quando si tratta di utilizzare l’infrastruttura di Discord. Inoltre, approcci simili potrebbero essere usati per utilizzare altri servizi di chat online come Slack e Microsoft Teams.

Un’evoluzione che abbiamo già osservato è il passaggio a linguaggi compilati come Rust e C++ per le versioni standalone del malware Discord: questi rendono le analisi più lunghe e consentono agli aggressori di muoversi più rapidamente e di utilizzare con relativa facilità strumenti di offuscamento e packing più diffusi.

Admin