鎖定 Discord 聊天平台的惡意軟體

Sophos 剛剛發布一份惡意軟體日益鎖定 Discord 聊天平台的最新研究。Sophos 發現的網路威脅包括竊取資訊的惡意軟體、間諜軟體、後門程式和以「惡作劇軟體」形式復活的勒索軟體。 

這些發現來自於 Sophos 研究人員對 Discord 內容管理網路 (CDN) 上 Sophos 遙測到的 1,800 多個惡意檔案的分析，並詳細發表在一篇最新的 SophosLabs Uncut 文章《惡意軟體日益鎖定 Discord 進行濫用》中。 

除其他發現外，Sophos 遙測資料顯示 2021 年第二季度在 Discord CDN 上託管惡意軟體的 URL 數量與 2020 年同期相比增加了 140%。 

Sophos 資深威脅研究員 Sean Gallagher 表示：

「Discord 為惡意軟體操作者提供了一個持久且高度可用的全球分發網路，以及一個訊息傳遞系統。這些操作者可以將其作為惡意軟體的命令和控制通路—與攻擊者使用 IRC 和 Telegram 的方式大致相同。Discord 龐大的使用者基礎還成為透過社交工程竊取個人資訊和憑證的理想環境。 

「這些把戲並非完全無害—我們發現一個惡意軟體可以經由被感染設備上的攝影機竊取私人圖片，以及出現在 2006 年但被攻擊者重新以『惡作劇軟體』包裝的勒索軟體。該惡作劇軟體會阻止受害者使用他們的資料，但沒有贖金要求，也沒有解密金鑰。 

「此外，攻擊者注意到公司內部使用 Discord 平台進行內部或社群聊天的情形越來越普遍，就像他們使用 Slack 等管道一樣。這為攻擊者提供了一個新的且有利可圖的目標，尤其是在安全團隊無法始終檢查進出 Discord 的 TLS 加密流量，以了解狀況並依需要發出警示時。

「只要是 Discord 用戶，無論他們是誰，無論他們使用平台做什麼，都應該對潛伏在服務中的惡意內容保持警惕，而不僅僅是讓 Discord 平台自行識別和刪除可疑檔案。此外，即使服務本身具備可信任的性質或合法性，IT 安全團隊亦永遠不應將來自線上雲端服務的任何流量視為『安全』。敵人可能躲在任何地方。」

Sophos 對與 Discord 惡意內容的調查發現如下：

• 惡意軟體通常偽裝成與遊戲相關的工具和作弊工具。Sophos 研究人員發現的常見「作弊」，包括允許玩家禁用對手或免費使用高級功能的修改—通常用於流行的線上遊戲，如 Minecraft、Fortnite、Roblox 和 Grand Theft Auto。研究人員還發現一個誘餌，誘騙遊戲玩家有機會測試正在開發的遊戲。

• 資訊竊取是最普遍的威脅，佔所見惡意軟體的 35% 以上。Sophos 在 Discord 上偵測到惡意軟體中，有超過 10% 屬於「Bladabindi」系列的資訊竊取後門程式。Sophos 研究人員發現了幾個密碼綁架惡意軟體，包括專門為竊取 Discord 帳號而產生的 Discord 安全權杖記錄程式。在另一個案例中，研究人員發現了一個 Minecraft 安裝程式的修改版本。除了安裝遊戲外，還會安裝一個名為「Saint」的 mod。Saint 實際上是間諜軟體，能夠直接從被感染設備上的攝影機擷取按鍵、螢幕擷取畫面以及圖片。 

• Sophos 研究人員還發現了重新利用的勒索軟體、後門程式、Android 惡意軟體套件等。包括幾種由攻擊者散布的 Windows 勒索軟體，這些勒索軟體會阻止使用資料，卻不會提出贖金要求或提供獲得解密金鑰的機會。

Android 惡意軟體方面包括後門程式、植入程式和金融惡意軟體，目的是竊取線上銀行帳戶和加密貨幣的使用權限。Sophos 研究人員還注意到，一個宣稱自己是「FortNite 多用途工具」的檔案會載入一個 Meterpreter 後門，還發現了許多被廣泛使用於竊取惡意軟體 Agent Tesla 的檔案副本。一旦它們就緒，還可以從遠端操作受害者電腦並作為傳播其他惡意軟體的平台。 

在技​​術層面，研究人員發現一些惡意軟體使用 Discord「聊天機器人」的 API 來與命令伺服器進行秘密通訊並接收指令。他們還發現了聲稱可以破解 Adobe Photoshop 等流行商業軟體的檔案，以及聲稱可以讓使用者使用 Discord Nitro (該服務的高級版) 付費功能的工具。

如何在 Discord 上保持安全

Sophos 建議在工作場合使用 Discord 進行聊天和協作的組織使用多重驗證 (MFA) 來保護員工的 Discord 帳戶，並確保所有員工用於遠距協作的任何電腦上都具備最新的惡意軟體防護措施。 

Sophos Intercept X 可偵測惡意軟體的動作和行為來保護企業用戶，而 Sophos Firewall 可檢查加密的 TLS 流量──根據 Sophos 的研究，現在有半數惡意軟體使用 TLS 流量來進行通訊。 

Sophos 還建議消費者在他們及家人用於線上通訊和遊戲的設備上安裝安全解決方案，例如 Sophos Home，以保護每個人免於惡意軟體和網路威脅。避免從任何來源下載和安裝未經許可的軟體也是一個很好的安全作法，即使它似乎來自一個已知的來源。