هکرها در دیسکورد و اسلک بدافزار وارد سیستم قربانیان می‌کنند

یک‌شنبه ۲۲ فروردین ۱۴۰۰ - ۲۳:۰۰
مطالعه 3 دقیقه
مؤسسه‌ی امنیتی زیرشاخه‌ی سیسکو می‌گوید هکرها در حال استفاده از دیسکورد و اسلک هستند تا فایل‌های مخربی را ازطریق لینک‌های داخلی این دو پلتفرم به سیستم قربانیان وارد کنند.
تبلیغات

از زمان آغاز دوران همه‌گیری ویروس کرونا، پلتفرم‌های ارتباطی نظیر دیسکورد (Discord) و اسلک (Slack) رشد بسیار زیادی تجربه کرده‌اند و نقششان در زندگی ما، چه برای ارتباطات شخصی و چه برای ارتباطات کاری، پررنگ‌تر شده است. بااین‌حال، همان‌طور‌که انتظار می‌رفت، افزایش محبوبیت دیسکورد و اسلک توجه افراد سودجو را نیز جلب کرده است و گزارشی جدید ادعا می‌کند هکرها در حال استفاده از این دو پلتفرم برای فرستادن بدافزار به درون سیستم کاربران هستند.

به‌گزارش تک‌اسپات، تحقیقات جدید یکی از زیرشاخه‌های سیسکو به نام Talos اعلام می‌کند هکرها برای رسیدن به اهدافشان لینک‌هایی در گروه‌ها قرار می‌دهند که رسمی و بدون مشکل به‌نظر می‌رسند؛ اما بدافزار در خود دارند.

اسلک و دیسکورد روشی اختصاصی برای ذخیره‌سازی فایل‌های بارگذاری‌شده دارند. لینک‌های دیسکورد معمولاً با cdn.discordapp و لینک‌های اسلک معمولاً با عبارتی مثل slack-files.com شروع می‌شوند. وقتی بدافزار روی این پلتفرم‌ها بارگذاری می‌شود، ممکن است شبیه به لینک‌های عادی دیگری به‌نظر برسند که به فایلی در داخل اسلک و دیسکورد مربوط هستند؛ اما همه‌چیز آن‌طوری نیست که دیده می‌شود.

هکرها دو دلیل محکم برای استفاده از سرورهای دیسکورد و اسلک به‌منظور پخش بدافزار دارند:‌ بدافزارها ازطریق HTTPS ارائه می‌شوند و فایل‌ها زیر فرایند فشرده‌سازی قرار می‌گیرند و همین موضوع باعث می‌شود محتوای آن‌ها واضح نباشد.

بدافزارهایی که بر بستر اسلک و دیسکورد پخش می‌شوند، صرفاً کاربرانی را در‌بر نمی‌گیرند که در این پلتفرم‌ها ثبت‌نام کرده‌اند؛ چون بدافزار در داخل پلتفرم یا اپلیکیشن واقع نشده است؛‌ بلکه هکرها با بهره‌گیری از لینک‌های CDN می‌کوشند کاری کنند کد مخربشان مثل لینک‌های عادی به‌نظر برسد و کاربر روی آن کلیک کند. بدین‌ترتیب، اگر کاربر روی لینک کلیک کند، به صفحه‌ی ذخیره‌سازی بدافزار منتقل شود و آن را دانلود کند، سیستمش آسیب‌پذیر می‌شود.

کاربران ممکن است لینک‌های مذکور را روی تنوعی از پلتفرم‌ها ببینند؛ بااین‌حال، لینک‌های این‌چنینی بیشتر در ایمیل‌ها دیده می‌شوند. ایمیل‌های دارای لینک مخرب از کاربران درخواست می‌کنند معامله‌ای انجام دهند. همچنین، معمولاً به سند مهمی اشاره می‌شود که کاربر با کلیک روی لینک می‌تواند به آن دسترسی پیدا کند. ایمیل‌ها ممکن است در زبان‌های مختلف شامل انگلیسی، اسپانیایی، فرانسوی، آلمانی و پرتغالی نوشته شوند.

مؤسسه‌ی Talos در‌ادامه‌ی گزارشش می‌نویسد گاهی اوقات فرایند اثرگذاری روی سیستم کاربر در چند مرحله انجام می‌شود، با این توضیح که مثلا اگر فایل فشرده‌شده حاوی یک سند ورد باشد، باز‌کردن این سند ممکن است کلان‌دستوری را اجرا کند که به دانلود فایل مخربی منتهی می‌شود که روی CDN دیسکورد قرار دارد.

هکرها با هدف سرقت اطلاعات کاربران نیز در حال استفاده از اسلک و دیسکورد هستند. هکرها با API دیسکورد می‌توانند از‌طریق وب‌هوک‌های متکی‌بر HTTPS به‌راحتی اطلاعات امنیتی حساس را از بین ببرند و آن را با سایر ترافیک شبکه‌ی دیسکورد ترکیب کنند. هکرها به‌دلیل افزایش محبوبیت دیسکورد و اسلک، راحتی آغاز پویش هک و ناشناس‌بودن به‌سمت این پلتفرم‌ها هجوم برده‌اند. دفعه‌ی بعدی که لینکی در دیسکورد مشاهده کردید، بهتر است پیش از کلیک‌کردن روی آن کمی بیشتر فکر کنید.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات