Discord Messenger sta diventando il parco giochi degli infostealer e degli APT

Redazione RHC : 20 Ottobre 2023 12:56

Il popolare messenger Discord, con oltre 140 milioni di utenti attivi, è recentemente diventato sempre più un trampolino di lancio per gli attacchi informatici. Questa tendenza allarmante è evidenziata da un nuovo rapporto degli esperti di Trellix.

Secondo lo studio, gli aggressori sfruttano le capacità della piattaforma per distribuire malware, rubare dati riservati e attaccare i sistemi aziendali. Recentemente si sono uniti all’utilizzo del messenger sofisticati gruppi APT, che si distinguono per l’elevata efficienza e segretezza delle loro operazioni.

Uno dei principali metodi di attacco è la distribuzione di file e programmi pericolosi attraverso la CDN (rete di distribuzione dei contenuti) della stessa Discord. I file sono mascherati da applicazioni innocue e arrivano sul computer della vittima dal dominio attendibile cdn[.]discordapp[.]com. Ciò consente di aggirare la protezione antivirus.

Un altro metodo comune consiste nell’utilizzare i webhook. Gli hacker creano script che trasferiscono segretamente le informazioni personali degli utenti, le password e i cookie del browser a server esterni. In questo caso il traffico viene mascherato come un normale scambio di dati all’interno del Messenger.

I webhook Discord sono facili da configurare e utilizzare anche senza una conoscenza approfondita della programmazione. Questo è un metodo conveniente e più accessibile.

Particolarmente popolari tra i criminali informatici sono i cosiddetti infostealer: programmi Trojan creati appositamente per rubare informazioni riservate. Tra i più attivi ci sono Agent Tesla, RedLine, UmbraStealer. Con il loro aiuto, i gruppi rubano documenti finanziari, password da portafogli crittografici e accessi da altri servizi.

È allarmante che gli hacker APT abbiano iniziato ad attaccare infrastrutture critiche: agenzie governative, imprese energetiche e industriali, i cui dipendenti tengono il passo con le tendenze generali e utilizzano Discord, ad esempio, per riunioni di lavoro.

La caratteristica principale delle minacce avanzate è la loro capacità di rimanere a lungo inosservate nel sistema della vittima. Eliminarli è piuttosto difficile, quindi se gli attacchi continuano a svilupparsi, la sicurezza nazionale e l’economia di interi paesi potrebbero risentirne a lungo termine.

Secondo gli esperti, Discord non adotta ancora misure sufficienti per combattere le attività illegali. Bloccare singoli account sospetti chiaramente non risolve il problema.

Gli esperti offrono diverse soluzioni. Compreso:

• Implementare sistemi di monitoraggio del traffico per rilevare tempestivamente attività dannose
• Impedire ad account nuovi o anonimi di condividere file e collegamenti
• Applicare metodi di apprendimento automatico in grado di riconoscere i segni di hacking in una fase iniziale.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.