Atividade maliciosa em bate-papos do Discord

Nessa publicação falamos sobre vários cenários que estão por trás da atividade maliciosa no Discord.

Nos seis anos desde o lançamento do serviço de chat e VoIP do Discord, a plataforma se tornou uma ferramenta popular para construir comunidades de interesse, especialmente entre os usuários fãs jogos online. No entanto, assim como qualquer outra plataforma que hospeda conteúdo gerado pelos membros do grupo, o Discord pode ser explorado. As extensas opções de personalização do Discord também abrem a porta para ataques a usuários comuns, tanto dentro quanto fora do servidor de bate-papo. Uma pesquisa recente sobre a segurança do Discord revelou vários cenários de ciberameças vinculados ao seu serviço de bate-papo, alguns dos quais podem ser realmente perigosos para os usuários. Veja como se proteger.

Malware sendo espalhado pelo Discord

Os arquivos maliciosos distribuídos pelo Discord representam a ameaça mais óbvia. Um estudo recente identificou várias dezenas de tipos de malware. Chamamos essa ameaça de “óbvia” simplesmente porque compartilhar arquivos pela plataforma é muito fácil; para cada arquivo é atribuída uma URL permanente, formatado da seguinte forma:

cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}

A maioria dos arquivos está disponível gratuitamente para download para qualquer pessoa com o link.

O estudo descreve um exemplo de ataque na vida real: um site falso que oferece downloads de clientes do aplicativo Zoom Web. O site parece real e o arquivo malicioso está hospedado em um servidor Discord. Isso contorna as restrições ao download de arquivos de fontes não confiáveis. O raciocínio é que os servidores de uma aplicação popular usada por milhões têm menos probabilidade de serem bloqueados por soluções antimalware.

O malicioso “lifehack” é tão óbvio quanto os meios de combatê-lo: as soluções de segurança de alta qualidade examinam mais do que apenas a fonte de download para determinar o nível de ameaça que um arquivo pode representar. As ferramentas Kaspersky, por exemplo, detectam imediatamente a funcionalidade maliciosa na primeira vez que um usuário tenta baixar o arquivo e então, com a ajuda de um sistema de segurança baseado em nuvem, permite que todos os outros usuários saibam que o arquivo deve ser bloqueado.

Todos os serviços que permitem uploads de conteúdso gerados pelo usuário enfrentam problemas de uso indevido. Os sites de hospedagem gratuita na internet veem páginas de phishing criadas neles, por exemplo, e plataformas de compartilhamento de arquivos são usadas para espalhar Trojans. Os serviços de preenchimento de formulários funcionam como canais de spam. A lista continua. Os proprietários de plataformas tentam combater o abuso, mas com resultados mistos.

Os desenvolvedores do Discord também precisam claramente implementar pelo menos alguns meios básicos de proteção do usuário. Por exemplo, os arquivos usados em um servidor de bate-papo específico não precisam ser disponibilizados para o mundo todo. Verificar e bloquear automaticamente o malware conhecido também parece uma medida interessante. Independentemente disso, este é o problema menos exótico do Discord e combatê-lo não é realmente diferente do que lidar com qualquer outro método de distribuição de malware. No entanto, não é a única ameaça que os usuários enfrentam.

Bots maliciosos

Outro estudo recente demonstra como é fácil explorar o sistema de bot do Discord. Os bots estendem a funcionalidade do servidor de bate-papo de várias maneiras, e o Discord oferece uma vasta gama de opções para personalizar os bate-papos dos próprios usuários. Um exemplo de código malicioso relacionado ao bate-papo foi publicado recentemente (e removido rapidamente) no GitHub: usando principalmente os recursos fornecidos pela API do Discord, o autor foi capaz de executar código arbitrário no computador de um usuário. Como por exemplo:

Demonstração de um programa arbitrário em execução no computador de um usuário seguindo um comando de um bate-papo do Discord

Um chatbot malicioso inicia um programa arbitrário no computador de um usuário após receber um comando por meio de um chat do Discord. Fonte.

Em um cenário de ataque, o código malicioso depende de um cliente Discord instalado localmente para abrir de forma automática na inicialização. A instalação de um bot de uma fonte não confiável pode causar essa infecção.

Os pesquisadores também analisaram outro cenário de uso indevido do Discord que depende da relação direta da plataforma com o cliente. Nesse caso, o malware usa o serviço de bate-papo para se comunicar. Graças à API pública, processo de registro descomplicado e criptografia de dados básica, um backdoor pode usar o Discord de forma fácil e conveniente para enviar dados sobre o sistema infectado ao seu operador e, por sua vez, receber comandos para executar código, carregar novos módulos maliciosos e mais.

Esse tipo de cenário parece bastante perigoso; ele simplifica muito o trabalho dos invasores, que não precisam criar uma interface de comunicação com os computadores infectados, mas podem usar algo já disponível. Ao mesmo tempo, complica um pouco a detecção de atividades maliciosas; as conversas entre a backdoor e sua operadora parecem uma atividade normal do usuário em um bate-papo popular.

Proteção para gamers

Embora as ameaças mencionadas se apliquem a todos os usuários do Discord, elas se relacionam principalmente àqueles que usam o Discord como um complemento do jogo: para comunicação de voz e texto, streaming, coleta de estatísticas de jogos e assim por diante. Tal uso envolve personalização substancial e aumenta os riscos dos usuários de encontrar e instalar extensões maliciosas.

O ambiente descontraído e aparentemente seguro representa, na verdade, uma ameaça adicional, aumentando a taxa de sucesso das técnicas de engenharia social – a isca é mais atraente em um bate-papo aconchegante com pessoas que você acredita serem seus amigos. Recomendamos seguir as mesmas regras de higiene digital no Discord que você faz em qualquer outro lugar na Web: não clique em links suspeitos ou baixe arquivos obscuros; escrutinar ofertas que parecem boas demais para ser verdade; e evite compartilhar qualquer informação pessoal ou financeira.

Quanto aos Trojans e backdoors, no Discord ou simplesmente distribuídos pela plataforma, eles não são especiais ou essencialmente diferentes de outros tipos de malware. Use um aplicativo antivírus confiável para ficar em segurança, mantê-lo em execução o tempo todo – inclusive ao instalar qualquer software ou adicionar bots a um servidor de bate-papo – e preste atenção aos avisos.

O desempenho não precisa ser uma preocupação. Por exemplo, nossos produtos de segurança incluem um modo de jogo que minimiza a sobrecarga sem comprometer a proteção.

Dicas