知名聊天軟件 Discord App 存在各種惡意軟件

Zscaler ThreatLabZ的研究表明，攻擊者使用垃圾郵件和游戲軟件的合法鏈接來提供Epsilon勒索軟件，XMRrig加密礦工以及各種數據和令牌竊取者。

與大流行規定的社會隔離相關的在線游戲的增加導致針對人口的罪犯數量激增。利用這種趨勢的最新努力是在Discord平臺內植入惡意文件，該文件旨在誘騙用戶下載帶有惡意軟件的文件。

研究人員報告多個活動廣告活動指定的不和諧“CDN [。] discordapp [.] COM”服務設計為觸發一個感染鏈和服務行動的小量勒索，數據偷竊者木馬和XMRrig cryptominer，根據一個報告由Zscaler中ThreatLabZ。研究人員觀察到，攻擊者還將服務用于命令和控制（C2）通信。

Discord 小組聊天平臺最初是為游戲玩家打造的，現已發展成為社交活動的虛擬水坑。玩家等都使用該應用程序在網上創建稱為 “服務器” 的社區，這些社區既可以作為獨立的論壇，也可以作為另一個網站的一部分。Discord 支持語音，視頻或文本 - 允許所有人在創建的社區中進行交互。

COVID-19 安全但帶有惡意軟件的環境

像無數其他聊天和在線交流平臺一樣，Discord 的使用率也在上升。這使黑客將 Discord 和其他虛擬社區視為靶心，他們將其視為成熟的濫用目標。

ThreatLabZ 表示：“到 2020 年，研究表明游戲下載量急劇增加，網絡犯罪分子并沒有忽略這一活動。” “攻擊者經常利用某些游戲的流行性（例如《我們之間》是最近的例子）來吸引玩家下載偽造的版本，以提供惡意軟件。”

盡管在 Discord 中植入惡意軟件不是一項新活動，但研究人員發現了許多新穎的活動，它們使用各種已知的惡意軟件來吸引平臺內的游戲玩家。

惡意軟件

根據 ThreatLabZ 的說法，最近在 Discord 中發現的惡意軟件不僅包括 Epsilon 勒索軟件，還包括 XMRig 礦工和三種類型的盜竊者 - Redline Stealer，TroubleGrabber 和種類繁多的身份不明的 Discord 令牌劫持者。

研究人員觀察到的新的 Discord 攻擊通常始于垃圾郵件，在這種電子郵件中，用戶被欺騙的合法外觀模板誘使他們下載下一階段的有效負載。攻擊媒介使用 Discord 服務形成 URL，以托管惡意負載，如 https：//cdn [.] discordapp [.] com /attachments/ ChannelID / AttachmentID /filename [.] exe

報告稱，這些活動將惡意文件重命名為盜版軟件或游戲軟件，并使用與游戲相關的文件圖標欺騙受害者。

研究人員調查了在最新的 Discord 運動中檢測到的不同類型惡意軟件的攻擊媒介，每種攻擊都有自己的方法。

主要發現

多個活動依賴于 cdn [.] discordapp [.] com 服務來感染鏈。
網絡犯罪分子正在使用 Discord CDN 托管惡意文件以及進行命令和控制通信。
惡意文件被重命名為盜版軟件或游戲軟件，以欺騙游戲玩家。
文件圖標也與游戲軟件有關，以欺騙游戲玩家。

不同的惡意軟件攻擊，針對不同的人群

如果是 Epsilon 勒索軟件，則從將.inf 文件和.exe 文件放入用戶計算機的 Windows / Temp 文件夾中開始執行。該惡意軟件通過在受害者計算機上創建注冊表項，然后枚舉系統驅動器，使用雙重加密（包括隨機生成的 32 位密鑰和具有 2048 位可變長度的自定義 RC4 加密）來加密文件，從而建立持久性。鑰匙。

研究人員指出，一旦建立了加密，攻擊就會從 cdn.discordapp.com 鏈接下載贖金票據圖像，以顯示在受害者的機器上。但是，與新活動中發現的盜竊者和加密礦工不同，Epsilon 并未使用 Discord 發起 C2 通信。

Redline 竊取程序是一種去年開始在地下論壇上發布的新型俄羅斯惡意軟件，其攻擊方式是將其副本放入受害者計算機的 AppData / Roaming 文件夾中。研究人員說，竊取者利用幾種流行的游戲應用程序名稱來執行其活動，包括收集登錄名和密碼，cookie，自動完成字段和信用卡，以及從 FTP 和 IM 客戶端竊取數據。

XMRig 挖礦器通過將自身的副本放在％ProgramData％\ RealtekHDUpdater \ realtekdrv [.] exe 上來發起攻擊。然后在未經用戶同意的情況下更改系統的文件許可權，并使用各種命令連接到 C2 服務器。

在嘗試刪除受害計算機上的一系列程序（包括進程黑客，任務管理器，Windows，Windows 任務管理器，AnVir 任務管理器，Taskmgr [.] exe 和 NVIDIA GeForce）后，該礦工使用 Monero 地址 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4N4XU4MW4G7W4W7W7W4K7W7L7W7N7W4K7W7W7L7N7W7W7W7L7W7W7W4K7W7W7W7W7W7N7W7W7W7W7W7W7L7W7W7N7W7W7W7W7W7W7L7W7W7W7W7W7W7W7W7WK7W7WK7K7BQ1C5C5C8C5C8C8YB2C

研究人員觀察到的其他搶奪者使用 Discord 令牌竊取用戶信息，Sonatype 的研究人員上個月也觀察到使用 CursedGrabber 惡意軟件將 Discord 定位為一種惡意活動。

機器人代碼內部使用 Discord 令牌將命令來回發送給 Discord API，后者進而控制機器人的動作。如果 Discord 令牌被盜，它將使攻擊者可以入侵服務器。

他們說，研究人員觀察到，TroubleGrabber 在最新的攻擊活動中以及其他各種身份不明的攻擊者中都進行了代幣竊取活動。