هکرها در دیسکورد و اسلک بدافزار وارد سیستم قربانیان میکنند
از زمان آغاز دوران همهگیری ویروس کرونا، پلتفرمهای ارتباطی نظیر دیسکورد (Discord) و اسلک (Slack) رشد بسیار زیادی تجربه کردهاند و نقششان در زندگی ما، چه برای ارتباطات شخصی و چه برای ارتباطات کاری، پررنگتر شده است. بااینحال، همانطورکه انتظار میرفت، افزایش محبوبیت دیسکورد و اسلک توجه افراد سودجو را نیز جلب کرده است و گزارشی جدید ادعا میکند هکرها در حال استفاده از این دو پلتفرم برای فرستادن بدافزار به درون سیستم کاربران هستند.
بهگزارش تکاسپات، تحقیقات جدید یکی از زیرشاخههای سیسکو به نام Talos اعلام میکند هکرها برای رسیدن به اهدافشان لینکهایی در گروهها قرار میدهند که رسمی و بدون مشکل بهنظر میرسند؛ اما بدافزار در خود دارند.
اسلک و دیسکورد روشی اختصاصی برای ذخیرهسازی فایلهای بارگذاریشده دارند. لینکهای دیسکورد معمولاً با cdn.discordapp و لینکهای اسلک معمولاً با عبارتی مثل slack-files.com شروع میشوند. وقتی بدافزار روی این پلتفرمها بارگذاری میشود، ممکن است شبیه به لینکهای عادی دیگری بهنظر برسند که به فایلی در داخل اسلک و دیسکورد مربوط هستند؛ اما همهچیز آنطوری نیست که دیده میشود.
هکرها دو دلیل محکم برای استفاده از سرورهای دیسکورد و اسلک بهمنظور پخش بدافزار دارند: بدافزارها ازطریق HTTPS ارائه میشوند و فایلها زیر فرایند فشردهسازی قرار میگیرند و همین موضوع باعث میشود محتوای آنها واضح نباشد.
بدافزارهایی که بر بستر اسلک و دیسکورد پخش میشوند، صرفاً کاربرانی را دربر نمیگیرند که در این پلتفرمها ثبتنام کردهاند؛ چون بدافزار در داخل پلتفرم یا اپلیکیشن واقع نشده است؛ بلکه هکرها با بهرهگیری از لینکهای CDN میکوشند کاری کنند کد مخربشان مثل لینکهای عادی بهنظر برسد و کاربر روی آن کلیک کند. بدینترتیب، اگر کاربر روی لینک کلیک کند، به صفحهی ذخیرهسازی بدافزار منتقل شود و آن را دانلود کند، سیستمش آسیبپذیر میشود.
کاربران ممکن است لینکهای مذکور را روی تنوعی از پلتفرمها ببینند؛ بااینحال، لینکهای اینچنینی بیشتر در ایمیلها دیده میشوند. ایمیلهای دارای لینک مخرب از کاربران درخواست میکنند معاملهای انجام دهند. همچنین، معمولاً به سند مهمی اشاره میشود که کاربر با کلیک روی لینک میتواند به آن دسترسی پیدا کند. ایمیلها ممکن است در زبانهای مختلف شامل انگلیسی، اسپانیایی، فرانسوی، آلمانی و پرتغالی نوشته شوند.
مؤسسهی Talos درادامهی گزارشش مینویسد گاهی اوقات فرایند اثرگذاری روی سیستم کاربر در چند مرحله انجام میشود، با این توضیح که مثلا اگر فایل فشردهشده حاوی یک سند ورد باشد، بازکردن این سند ممکن است کلاندستوری را اجرا کند که به دانلود فایل مخربی منتهی میشود که روی CDN دیسکورد قرار دارد.
هکرها با هدف سرقت اطلاعات کاربران نیز در حال استفاده از اسلک و دیسکورد هستند. هکرها با API دیسکورد میتوانند ازطریق وبهوکهای متکیبر HTTPS بهراحتی اطلاعات امنیتی حساس را از بین ببرند و آن را با سایر ترافیک شبکهی دیسکورد ترکیب کنند. هکرها بهدلیل افزایش محبوبیت دیسکورد و اسلک، راحتی آغاز پویش هک و ناشناسبودن بهسمت این پلتفرمها هجوم بردهاند. دفعهی بعدی که لینکی در دیسکورد مشاهده کردید، بهتر است پیش از کلیککردن روی آن کمی بیشتر فکر کنید.
نظرات