Discord es una de las aplicaciones colaborativas más utilizadas en todo el mundo, este chat incluido en algunos de los juegos más populares, reúne a millones de personas; también es una opción para los usuarios que simplemente desean comunicarse con sus amigos y familiares. Popularidad que ha convertido a Discord en una aplicación común en casi cualquier computadora, incluidas aquellas que se usan exclusivamente para trabajar.
El tráfico que genera Discord es frecuente, incluso, en redes corporativas, algo de lo que se han dado cuenta los ciberdelincuentes.
El Centro de Investigación Avanzada de Trellix analiza el malware que hace uso indebido de la infraestructura de Discord. Uno de los hallazgos es que la mayoría de las muestras son ladrones de información y Troyanos de Acceso Remoto (RATs) que se pueden obtener de internet, lo cual es bastante diferente de una muestra dirigida a infraestructuras críticas de Ucrania que se han encontrado recientemente. Es la primera vez que se descubre que una muestra asociada con la actividad de APT utiliza Discord.
Con el objetivo de comprender el panorama de amenazas, Trellix colaboró con Threatray para obtener una imagen general de la vulnerabilidad. Como resultado, se identificaron varias familias que aprovechan las capacidades de Discord para realizar sus operaciones.
Discord es una aplicación basada en la web, funciona a través de HTTP/HTTPS Por lo que a menudo está habilitado tanto en redes corporativas como no corporativas. Además, les permite combinar su tráfico en la red, lo que dificulta la detección por parte del software de seguridad y de los investigadores.
Las formas en que el software malicioso aprovecha Discord se centran en dos técnicas: descargar archivos adicionales y extraer información.
CDN de Discord
Para descargar archivos adicionales de Discord, los ciberdelincuentes aprovechan la funcionalidad conocida como Red de Entrega de Contenido (CDN). Esta característica permite a los atacantes cargar cualquier tipo de archivo para descarga posterior.
El proceso es: el atacante crea un usuario que utiliza para subir el archivo que se descargará posteriormente. A este archivo se le denomina “segunda etapa”. Luego, el atacante enviará la “segunda etapa” a cualquier otro usuario, incluso a él mismo, en un chat o grupo privado. No es necesario que sea público para que cualquiera pueda acceder a él.
Una vez subida la “segunda etapa”, el atacante solo necesita copiar el enlace del archivo, que será algo como este (es un archivo inofensivo, pero Trellix lo bloquea como medida preventiva):
El enlace resultante será el que utilizará la muestra para descargar la “segunda etapa” desde cualquier sistema con HTTP/HTTPS habilitado mediante una simple solicitud GET.
El proceso de exfiltración a través de Discord se realiza utilizando una de sus funciones de automatización, webhooks, que permite a un atacante enviar no solo información en forma de mensajes de texto, sino también archivos y otros datos almacenados en la máquina de la víctima.
Para configurar un webhook el atacante necesita una cuenta de Discord. Luego requiere crear un servidor privado, que contendrá un canal predeterminado, pero el atacante puede crear más, donde se enviarán los datos de exfiltración. Después de eso, puede crear un webhook que se aplicará solo al canal especificado de este servidor.
Los hallazgos sugieren que el uso de la CDN de Discord para descargar la siguiente etapa de malware se ha vuelto popular desde agosto de 2022. En la mayoría de los casos, las familias que utilizan la CDN son cargadores escritos en lenguaje NET su implementación suele ser sencilla.
En algunos casos, la etapa entregada a través de Discord CDN cargará más etapas. Por ejemplo, hemos observado que cargadores conocidos como SmokeLoader o ShortLoader (que están alojados en la CDN) implementan ladrones de la familia Vidar.
También se ha visto un uso regular de Discord CDN por parte de GuLoader (CloudEye) y PrivateLoader. Entre finales de junio y principios del 23 de julio se llevó a cabo una campaña reciente de GuLoader. En el momento del análisis, todos los enlaces de descarga estaban inactivos y no pudimos observar la entrega de las cargas útiles de la siguiente etapa.
Utilizando las capacidades de clasificación basadas en la reutilización de código de Threatray, se atribuyen los cargadores y las cargas útiles a familias de malware. Se han encontrado alrededor de 10 mil muestras usando Discord. Los resultados muestran las familias que utilizan la CDN de Discord y las cargas útiles que se entregan respectivamente, y se trata de ladrones y RAT generalizados. Los hallazgos sugieren que la CDN de Discord es simplemente un nuevo vector de entrega adoptado por actores previamente activos.
Los webhooks de Discord
Hay muchos ladrones disponibles en internet que permiten a los ciberdelincuentes configurar un webhook de Discord para extraer datos. Un ejemplo es Mercurial Grabber, que solicita una URL de webhook de Discord al crear la carga útil.
UmbralStealer es otro ladrón de información que facilita a un usuario crear una carga útil que especifica un webhook de Discord para la exfiltración; lo que convierte a UmbralStealer en una opción popular entre los ciberdelincuentes.
Para identificar el uso de webhooks en la colección de malware, se utilizaron las capacidades de búsqueda retroactiva de funciones de Threatray, que pueden encontrar reutilización de código en una granularidad por función. La retro búsqueda de funciones coincide con las propiedades estructurales de las funciones y, por lo tanto, puede encontrar funciones coincidentes que sean similares, pero que no sean idénticas en cuanto a instrucciones a la función que se busca.
Además, se observó un uso significativo, por parte de varios ladrones de información y familias de RAT, de webhooks como; MercurialGrabber, AgentTesla, UmbralStealer, Stealerio, Sorano, zgRAT, SectorRAT, NjRAT, Caliber44Stealer, InvictaStealer, StormKitty, TyphonStealer, DarkComet, VenomRAT, GodStealer, NanocoreRAT y GrowtopiaStealer. Se observa una alta prevalencia de MercurialGrabber a finales de 2021 y el primer semestre de 2022, seguida de una rápida disminución durante el resto de 2022. Desde entonces, una versión de AgentTesla que utiliza los webhooks de Discord comenzó a ganar popularidad. Del mismo modo, se vio un aumento notable por parte de UmbralStrealer en junio y julio de 2023.
Conclusiones
El panorama en evolución de las amenazas a la seguridad ha sido testigo de una tendencia preocupante: la explotación de plataformas de comunicación populares como Discord con fines maliciosos.
El abuso de la CDN de Discord como mecanismo de distribución de cargas útiles de malware adicionales muestra la adaptabilidad de los ciberdelincuentes para explotar aplicaciones colaborativas para su beneficio. Al disfrazar archivos maliciosos dentro de contenido aparentemente inofensivo, estos actores de amenazas pueden evadir fácilmente las medidas de seguridad tradicionales.
Además, la utilización de los webhooks de Discord para filtrar información confidencial, resalta la versatilidad de esta plataforma para facilitar el robo de datos. Estos ganchos, inicialmente diseñados para la automatización y la integración, se han convertido, sin darse cuenta, en una herramienta para que ciberdelincuentes extraigan datos confidenciales sin levantar sospechas.
La posible aparición de campañas de malware APT que explotan las funcionalidades de Discord introduce una nueva capa de complejidad en el panorama de amenazas. Las APT son conocidas por sus ataques sofisticados y dirigidos y, al infiltrarse en plataformas de comunicación ampliamente utilizadas como Discord, pueden establecer de manera eficiente puntos de apoyo a largo plazo dentro de las redes, poniendo en riesgo la infraestructura crítica y los datos confidenciales.
Es importante tener en cuenta que los grupos APT no han utilizado Discord en el pasado por una razón: no controlan completamente el canal C&C. Parece probable que los actores de APT solo usen Discord en el futuro en las primeras etapas o para reconocimiento, como hemos visto anteriormente, dejando métodos más confiables para etapas posteriores.
El malware general es un panorama diferente, muchos utilizan las capacidades de Discord para realizar sus actividades durante años. Desde troyanos que roban información hasta ransomware y más, el alcance de la amenaza para las empresas es expansivo y está evolucionando.
El uso de Discord para evadir la detección ya existía, pero el hecho de que los actores de APT hayan comenzado a usarlo es una nueva realidad que los investigadores de seguridad deben abordar. Para garantizar la detección adecuada de estas actividades y proteger los sistemas, las comunicaciones de Discord hay que monitorearlos y controlarlos, bloqueando si es necesario.