Kyberbezpečnostní odborníci upozorňujú na malvérové kampane, šíriace sa na skupinovaných komunikačných platformách ako Slack či Discord. Útočníci znaužívajú ich dôveryhodnosť.
Pandemické obdobie zvýrazňuje aj dôležitosť kybernetickej bezpečnosti a ochrany. Okrem inteligentných hračiek pre dospelých, ktorým sa venoval výskumný team spoločnosti ESET, rastie aj význam kolaboračných platoforiem ako Slack alebo Discord.
Zistenia na svojom blogu priniesli výskumníci z organizácie Talos, ktorá je súčasťou americkej spoločnosti Cisco Systems. O kyberbezpečnostných aspektoch koronavírusovej pandémie experti z Talosu písali už vo februári a marci minulého roka.
Dôveruj, ale preveruj
Prostredie kolaboračných platforiem poskytuje útočníkom ideálne podmienky na distribúciu a doručenie malvéru.
Základom pri distribúcii je psychologický aspekt spolupráce na diaľku: väčšina užívateľov dobre známym prostrediam dôveruje a tak takmer automaticky otvára odkazy a súbory, ktoré nájde v pracovných chatovacích miestnostiach alebo kanáloch.
V prípade služby Discord nejde o nič nové, v minulosti tu prekvitalo niekoľko malvérov, ako napríklad Lokibot, AsynRAT alebo Phoenix Keylogger.
Šíreniu malvéru v podobných prostrediach nahráva aj fakt, že generovanie odkazov na súbory je rýchle a jednoduché, vďaka čomu sa ku infikovanému súboru v krátkom čase môže dostať veľké množstvo užívateľov.
Prefíkané cesty
Útočníkom sa zneužívaním funkcionalít kolaboračných prostredí otvárajú dve možnosti, ako obísť bezpečnostné opatrenia.
V prvom rade to to fakt, že obsah sa prostredníctvom siete pre doručovanie obsahu (content delivery network) do koncového zariadenia doručuje pomocou zašifrovaného HTTPS protokolu.
Druhou výhodou je to, že pri kompresii prirodzene dochádza ku zahmleniu alebo zníženiu prehľadnosti skomprimovaného súboru. Pri šírení malvéru sú preto často využívané aj dobre známe kompresné archívy, ako napríklad .rar, .zip alebo .7z.
Ako zdôrazňuje expertný team z Talosu, útoky z prostredí ako Slack alebo Discord často zahŕňajú rôzne služby, od funkcionalít samotného programu až po služby tretích strán.
Jedná sa o neuveriteľne komplikovaný proces infekcie, ktorý zahŕňal rôzne služby, napríklad Discord a Disk Google, ale vyžadoval tiež, aby obeť otvorila viac súborov predtým, ako dôjde ku konečnej infekcii.
Podvodné aktivity sú navyše lokalizované. Okrem angličtiny sú phishingové správy často aj v nemčine, španielčine či francúzštine. Tieto preklady však môžu obsahovať gramatické chyby, ako vidieť aj na nemeckojazyčnom screenshote.
Veľké publikum za nízku cenu
Discord a Slack nie sú jediné prostredia, ktoré záškodníci zneužívajú na masovú distribúciu škodlivého obsahu – či už ide o malvér alebo hoaxy.
Okrem notoricky známych problémov okolo Facebooku je zaujímavým príkladom chatovacia služba WhatsApp, ktorá v minulosti musela obmedziť preposielanie správ, pretože sa tak šírili hoaxy a dezinformácie.
Krištof Remper