Anuncio de servicio público: los hackers utilizan los enlaces de Discord y Slack para distribuir malware

Desde que comenzó la pandemia, las plataformas de comunicación como Discord y Slack han mostrado un tremendo crecimiento y un papel más relevante en nuestras vidas, ya sea dentro o fuera del trabajo (remoto). Pero como era de esperar, ese aumento de popularidad también ha atraído a entidades no tan amigables, y los piratas informáticos los utilizan para propagar malware a través de usuarios desprevenidos.

Una investigación publicada por la división Talos de Cisco nos dice que los piratas informáticos han estado usando Slack y Discord para distribuir malware a través de enlaces que parecen legítimos. Tanto Slack como Discord tienen su propia forma de almacenar archivos cargados. Los enlaces de Discord generalmente comienzan con “cdn.discordapp”, mientras que Slack usa algo como “slack-files.com/”. Una vez que se carga el malware en esas plataformas, pueden verse como cualquier otro enlace que redirija a un archivo dentro de Slack o Discord, pero no todo es lo que parece.

Los piratas informáticos tienen dos buenas razones para usar los servidores de archivos Discord y Slack : el malware se entrega a través de HTTPS y los archivos se someten a un proceso de compresión que ofuscará el contenido.

Vale la pena señalar que los usuarios no necesitan tener Discord ni Slack instalados para ser atacados, ya que el malware no reside en la plataforma o aplicación, sino que los piratas informáticos están utilizando los enlaces CDN para alojar el código malicioso y parecer legítimos. Si un usuario hace clic en un enlace que lo redirecciona al lugar donde se almacena el malware y descarga el archivo, se volverá vulnerable.

Los usuarios pueden ver los enlaces en varias plataformas, pero el correo electrónico parece ser el más probable. Los correos electrónicos con estos enlaces solicitan a los usuarios una transacción o informan sobre la importancia de un documento en particular al que se puede acceder a través del enlace. Los correos electrónicos pueden estar escritos en varios idiomas, incluidos inglés, español, francés, alemán y portugués.

En algunos casos, descargar el primer lote de archivos es solo la “primera parte de un proceso de infección de varias etapas que a menudo incluye la entrega de binarios adicionales”. Por ejemplo, si el archivo comprimido incluye un documento de Word, abrir este mismo documento puede activar una macro que recuperará la carga útil de la siguiente etapa alojada en la CDN de Discord.

Los piratas informáticos también están usando Discord y Slack para robar datos de los usuarios. A través de la API de Discord, los piratas informáticos pueden filtrar fácilmente información confidencial a través de webhooks a través de HTTPS, mezclándose con el resto del tráfico de red de Discord.

La mayor popularidad y familiaridad entre los usuarios, la facilidad para iniciar una campaña de malware y el anonimato que ofrecen las plataformas de colaboración son solo algunas de las razones por las que los piratas informáticos se dirigen a ellos. La próxima vez que vea un enlace de Discord de una fuente desprevenida, es mejor que lo piense dos veces sobre su legitimidad.

More Stories
Sony revela sus juegos para el Tokyo Game Show 2019