Peretas Memanfaatkan Tautan Perselisihan dan Slack untuk Melayani Malware

  • Whatsapp
Hackers Are Exploiting Discord and Slack Links to Serve Up Malware


Terima kasih banyak bagian ke pandemi global, platform kolaborasi seperti Discord dan Slack telah mengambil posisi intim dalam hidup kita, membantu menjaga ikatan pribadi meskipun ada isolasi fisik. Namun peran mereka yang semakin tidak terpisahkan juga menjadikannya cara yang ampuh untuk mengirimkan malware ke korban yang tidak disadari — terkadang dengan cara yang tidak terduga.

Bacaan Lainnya

Divisi keamanan Cisco, Talos, menerbitkan penelitian baru pada hari Rabu menyoroti bagaimana, selama pandemi Covid-19, alat kolaborasi seperti Slack dan, lebih umum lagi, Discord telah menjadi mekanisme yang berguna bagi penjahat dunia maya. Dengan frekuensi yang terus meningkat, mereka digunakan untuk menyajikan malware kepada korban dalam bentuk tautan yang terlihat dapat dipercaya. Dalam kasus lain, peretas telah mengintegrasikan Discord ke dalam malware mereka untuk mengontrol kode mereka dari jarak jauh yang berjalan di mesin yang terinfeksi, dan bahkan untuk mencuri data dari korban. Peneliti Cisco memperingatkan bahwa tidak ada teknik yang mereka temukan benar-benar mengeksploitasi kerentanan yang dapat diretas yang jelas di Slack atau Discord, atau bahkan memerlukan Slack atau Discord untuk diinstal pada mesin korban. Sebaliknya, mereka hanya memanfaatkan beberapa fitur yang sedikit diperiksa dari platform kolaborasi tersebut, bersama dengan keberadaan mereka di mana-mana dan kepercayaan bahwa pengguna dan administrator sistem telah datang ke dalamnya.

“Orang-orang cenderung melakukan hal-hal seperti mengklik tautan Discord daripada sebelumnya, karena mereka terbiasa melihat teman dan kolega mereka memposting file ke Discord dan mengirimi mereka tautan,” kata peneliti keamanan Cisco Talos Nick Biasini. “Semua orang menggunakan aplikasi kolaborasi, semua orang terbiasa dengannya, dan orang jahat menyadari bahwa mereka dapat menyalahgunakannya.”

Di antara teknik eksploitasi aplikasi kolaborasi yang diperingatkan oleh para peneliti Cisco, yang paling umum menggunakan platform pada dasarnya sebagai layanan file hosting. Baik Discord dan Slack memungkinkan pengguna untuk mengunggah file ke server mereka dan membuat tautan yang dapat diakses secara eksternal ke file-file itu, sehingga siapa pun dapat mengklik tautan dan mengakses file tersebut. Dalam banyak kasus, Cisco menemukan, file-file itu berbahaya; para peneliti membuat daftar sembilan alat mata-mata akses jarak jauh baru-baru ini yang telah dicoba dipasang oleh peretas dengan cara ini, termasuk Agen Tesla, LimeRAT, dan Phoenix Keylogger.

Tautan tidak harus dikirimkan ke korban di dalam Slack atau Discord. Mereka juga dapat disajikan melalui email, di mana peretas dapat dengan mudah menjaring korban secara massal, menyamar sebagai kolega korban, dan menjangkau pengguna yang sebelumnya tidak memiliki hubungan dengan mereka. Hasilnya, Cisco telah mencatat peningkatan besar dalam penggunaan tautan tersebut untuk mengirimkan malware melalui email pada tahun lalu. “Selama beberapa bulan terakhir kami telah melihat puluhan ribu, dan angka ini terus meningkat,” kata Biasini. “Saat ini tampaknya sedang memuncak.”

Perusahaan keamanan Zscaler juga mencatat peningkatan penggunaan teknik oleh penjahat dunia maya di penelitian yang diterbitkan pada bulan Februari, memperingatkan bahwa mereka menemukan sebanyak dua lusin varian malware per hari, termasuk ransomware dan program penambangan cryptocurrency, dikirimkan sebagai video game palsu yang disematkan di tautan Discord. Peretas juga telah menggunakan teknik untuk menanam malware yang mencuri token otentikasi Discord dari komputer korban, memungkinkan peretas untuk meniru mereka di Discord, menyebarkan lebih banyak tautan Discord berbahaya saat menggunakan akun korban untuk menutupi jejak mereka.

Selain mengeksploitasi kepercayaan yang ditempatkan pengguna di tautan Slack dan Discord, teknik itu juga mengaburkan malware, karena Slack dan Discord menggunakan enkripsi HTTPS pada tautan mereka dan mengompresi file saat diunggah. Dan sementara metode lain untuk menghosting malware dapat dibuat offline atau diblokir saat server peretas ditemukan, link Slack dan Discord lebih sulit untuk dihapus atau diblokir pengguna agar tidak dapat mengaksesnya. “Musuh kemungkinan besar akan terpengaruh oleh hal-hal seperti mematikan server, mematikan domain, memasukkan file ke daftar hitam,” kata Biasini. “Dan apa yang mereka lakukan adalah menemukan cara untuk memecahkannya.”

Selain menghosting malware mereka di tautan Discord and Slack, penjahat dunia maya juga menggunakan Discord sebagai elemen perintah-dan-kontrol dan pencurian data di malware mereka. Discord memungkinkan pemrogram untuk menambahkan “webhook” ke kode mereka yang secara otomatis memperbarui saluran Discord dengan informasi dari aplikasi atau situs web. Jadi penjahat dunia maya telah memanfaatkan teknik itu untuk menyampaikan informasi dari komputer yang terinfeksi kembali ke server perintah dan kontrol yang mereka gunakan untuk mengelola botnet, atau bahkan untuk menarik data dari mesin korban kembali ke server. Seperti teknik tautan berbahaya, trik webhook itu menyembunyikan lalu lintas berbahaya dalam komunikasi Discord yang tampak lebih polos dan terenkripsi, dan membuat infrastruktur peretas lebih sulit untuk ditarik secara offline. (Meskipun Slack juga menawarkan fitur webhook serupa, Cisco mengatakan belum melihat peretas menyalahgunakannya karena mereka memiliki Discord.)



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *