Múltiples grupos de hacking se han infiltrado en el código de plataformas como Discord y Slack para abusar de algunas funciones legítimas con fines maliciosos, incluyendo el robo de información y envío de troyanos y otras variantes de malware.
Acorde a los expertos de Cisco Talos, un elemento fundamental en las campañas de despliegue de malware es el uso de archivos y dominios que no sean fácilmente bloqueados o eliminados, requisito que cumplen plataformas como Discord y Slack: “Estas aplicaciones son legítimas, por lo que su uso elimina muchos de los obstáculos enfrentados por los cibercriminales.”
La clave del ataque está en las redes de entrega de contenido (CDN), tecnología empleada por estas plataformas para el almacenamiento de archivos compartidos de un lado a otro de los canales: “Los archivos se cargan en estas plataformas y los usuarios pueden crear enlaces para que cualquier persona acceda a ellos, incluso sin requerir que el usuario cuente con Slack o Discord instalado.”
El ataque se basa en el envío de un enlace malicioso que el usuario objetivo deberá abrir, permitiendo esquivar las medidas de seguridad en el sistema: “En el caso de Slack, es muy fácil que las víctimas hagan clic en este enlace, ya que parecería comunicación legítima de una compañía”, señala el reporte. Los cibercriminales también pueden entregar cargas útiles maliciosas a la CDN a través de HTTPS cifrado oculto en mensajes: “Durante el año pasado observamos que se utilizaban muchos algoritmos de compresión comunes, incluyendo ACE, GZ, TAR y ZIP.”
Los mensajes, que podrían abordar temas como ofertas o transacciones bancarias, están redactados en múltiples idiomas, incluyendo inglés, francés, español, alemán y portugués.
La siguiente captura de pantalla muestra este tipo de ataque en Discord, que muestra un malware de primera etapa encargado de obtener un blob ASCII de un CDN en la plataforma. Los datos de Discord CDN se convierten en la carga útil maliciosa final y se inyectan de forma remota, reportan los expertos.
Por otra parte, la API de Discord se convirtió en una herramienta altamente eficaz para que los actores de amenazas realicen ataques de robo de datos. Acorde al reporte, las comunicaciones C&C se habilitan a través de webhooks, desarrolladas para enviar mensajes automatizados a servidores de Discord específicos, usualmente vinculados con servicios como GitHub: “El dominio Discord ayuda a los actores de amenazas a ocultar un proceso de robo de datos haciendo que parezca cualquier otro tipo de tráfico web.”
Este flujo de comunicación también se puede utilizar para alertar a los atacantes cuando hay nuevos sistemas disponibles para ser secuestrados y entrega información actualizada sobre aquellos en los que ya se han infiltrado.
Finalmente, los expertos detectaron múltiples campañas de hacking asociadas con el ransomware Pay2Decrypt LEAKGAP, que emplea la API de Discord para comunicarse con su servidor C&C, para el robo de datos y el registro de bots: “Después de una infección exitosa, los datos almacenados en el sistema dejan de estar disponibles para las víctimas y se muestra la nota de rescate.”
La mitigación de estos ataques involucra la implementación de múltiples medidas, aunque principalmente requiere que los desarrolladores de estas plataformas apliquen mejores mecanismos de seguridad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.