Эксперты предупреждают, что некоторые популярные инструменты для совместной работы в Интернете, в том числе Slack и Discord, используются хакерами для распространения вредоносных программ.

В новом отчете группы по кибербезопасности Cisco Talos было обнаружено, что методы Content Delivery Networks (CDN), которые используют многие платформы обмена мгновенными сообщениями для обеспечения беспрепятственного обмена файлами, лежат в основе новой любви преступников к этим чат-приложениям. 

CDN позволяют пользователям хранить файлы на серверах приложений и часто жестко запрограммированы, что делает их доступными внутри и вне приложения. Загрузка сжатых файлов по зашифрованному протоколу HTTPS делает обнаружение чрезвычайно трудным, в то время как пользователи, как правило, менее осторожны при получении файлов из известной и надежной среды.

• Мы составили список лучших VPN- сервисов для бизнеса
• Защитите свои устройства от вирусов с помощью  лучшего программного  обеспечения для удаления вредоносных программ
• Мы составили список  лучших  программ для защиты конечных точек.

Целевые инструменты имеют несколько преимуществ, призванных сделать общение более беспрепятственным, которые киберпреступники могут использовать для более легкого распространения вредоносных программ и программ- вымогателей , и они быстро ухватились за эту подножку. Помимо распространения, они также используют эти платформы для управления и контроля, а также для кражи конфиденциальных данных от жертв.

Этот метод стал настолько популярным, что, как утверждает Талос, простой поиск образцов, которые доходят до CDN Discord, привел к обнаружению почти 20 000 образцов в VirusTotal.

«Этот метод часто использовался в кампаниях по распространению вредоносных программ, связанных с RAT, стилерами и другими типами вредоносных программ, которые обычно используются для получения конфиденциальной информации из зараженных систем», – пояснила команда в своем блоге.

Кража данных и уведомление

Когда дело доходит до кражи данных, Discord API, например, оказался довольно эффективным инструментом. Поскольку функция веб-перехватчика (изначально предназначенная для отправки автоматических предупреждений) была разработана для отправки любого типа информации, и вредоносные программы часто используют ее, чтобы гарантировать, что украденные данные достигают предполагаемого места назначения.

«Веб-перехватчики – это, по сути, URL-адрес, по которому клиент может отправить сообщение, которое, в свою очередь, отправляет это сообщение на указанный канал – и все это без использования реального приложения Discord», – говорят исследователи. «Домен Discord помогает злоумышленникам замаскировать кражу данных, делая их похожими на любой другой трафик, проходящий через сеть».

Они также используют веб-перехватчики, например, для уведомления о недавно зараженной системе.

По мере роста популярности приложений для обмена мгновенными сообщениями угрозы будут расти вместе с ними. Исследователи пришли к выводу, что предприятиям необходимо осознавать риски и тщательно выбирать, какую платформу использовать. 

«По мере того, как становится доступным все больше приложений, а популярность некоторых растет и падает, для противников будут постоянно открываться новые возможности».