Перейти к содержанию

Вирусы в Discord и как от них защититься | Блог Касперского


Рекомендуемые сообщения

За шесть лет с момента запуска чат- и VOIP-сервиса Discord он стал популярным инструментом для создания сообществ по интересам, особенно среди геймеров. Но, как и любую другую платформу с пользовательским контентом, Discord можно использовать для вредоносной активности. Широкие возможности кастомизации Discord также позволяют атаковать обычных пользователей как внутри чат-сервера, так и за его пределами. В недавних исследованиях безопасности Discord раскрыто сразу несколько сценариев кибератак, связанных с чат-сервисом. Давайте разберемся, какие из них могут быть по-настоящему опасны для пользователей — и как от них можно защититься.

Распространение вирусов через Discord

Начнем с самой очевидной угрозы: через Discord распространяются вредоносные файлы. В свежем исследовании было выявлено несколько десятков типов зловредов. Очевидной угрозой это является просто потому, что каждый загружаемый в Discord файл получает постоянный URL вот такого вида:

cdn.discordapp.com/attachments/{идентификатор канала}/{идентификатор самого файла}/{имя файла}

В большинстве случаев файл может свободно скачать любой обладатель этой ссылки. Естественно, злоумышленники пытаются этим воспользоваться.

Исследование описывает практический пример атаки: поддельный сайт, предлагающий скачать клиент для веб-конференций Zoom. Дизайн сайта копирует оригинал, а сам вредоносный файл как раз загружен на сервер Discord. Так злоумышленники пытаются избежать ограничений по загрузке файлов из сомнительных источников. Ставка делается на то, что серверы популярного приложения, которым пользуются миллионы людей, с меньшей вероятностью будут заблокированы защитными решениями.

Насколько данный вредоносный «лайфхак» очевиден, настолько же понятны и средства борьбы с ними. Качественные защитные решения не определяют опасность файла только по тому, откуда он загружается. Решения «Лаборатории Касперского» сначала определят вредоносную функциональность при первой же попытке загрузки файла, а затем через облачную систему безопасности сообщат всем остальным пользователям, что такой файл лучше не загружать.

Неправомерное использование — проблема всех сервисов, позволяющих загружать пользовательский контент. На бесплатных хостингах создают фишинговые страницы, через обменники файлов распространяют троянов, шлют спам через службы заполнения форм и так далее. Владельцы большинства таких платформ с переменным успехом борются с вредоносным использованием.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      За последние несколько лет злоумышленники выбирали своими целями и небольшие компании, и гигантские заводы, и города и даже целые страны. Атаки такого рода практически всегда оборачиваются внушительными потерями, как финансовыми, так и репутационными, поэтому велик соблазн бросить все силы защитников на ликвидацию последствий. Но важно не упускать из внимания и другой вопрос — как не допустить повторения инцидента.
      Почему вы скорее всего будете атакованы шифровальщиком второй раз?
      Когда-то авторы шифровальщиков сами пытались атаковать компании, рассылая свои троянцы со спамом. Современные группировки давно работают по принципу Ransomware-as-a-Service: предоставляют всем желающим доступ к инфраструктуре и коду зловреда за долю от выкупа. Да и вообще, «шифровальный бизнес» стремительно превращается в полноценную индустрию, где у каждого участника есть своя специализация. В частности, есть преступные группы, которые ищут (или организовывают) и продают первичный доступ к сетям компаний.
      Если в новостях или на хакерских форумах появится информация о том, что ваша организация стала жертвой шифровальщика, это автоматически привлечет внимание других злоумышленников. Особенно, если вы согласитесь заплатить выкуп. Потому что, во-первых, это будет означать, что ваша инфраструктура уязвима, а во-вторых, что вы ведете переговоры со злоумышленниками. Для современных преступников это явный признак того, что атаку на вашу компанию стоит повторить. И как показывают результаты опроса How business executives perceive ransomware threat, проведенного нашими коллегами, они не далеки от истины: 88% руководителей из компаний, которые пострадали от шифровальщиков, говорят, что готовы заплатить в случае повторения атаки.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мошенники нередко прикрываются известными компаниями — онлайн-кинотеатрами, банками, интернет-магазинами. На этот раз злоумышленники действуют от имени Wells Fargo — одного из четырех крупнейших банков США, предоставляющего услуги более чем в 40 странах мира. Рассчитывая на доверие к банку, преступники не ограничиваются реквизитами банковских карт, а пытаются заодно завладеть доступом к почте жертвы и селфи с документом, удостоверяющим ее личность.
      Фишинговая атака на клиентов Wells Fargo
      Атака начинается с фишингового письма с тревожным уведомлением. В нем пользователю сообщают, что его банковский счет в Wells Fargo заблокирован — якобы из-за неподтвержденной электронной почты или ошибки в домашнем адресе. Чтобы восстановить доступ, в письме просят перейти по ссылке и подтвердить личность. Причем сделать это надо в течение 24 часов с того момента, как пришло письмо. В противном случае ни переводить деньги, ни снимать их со счета не получится — так пугают авторы сообщения.
      Письмо выглядит вполне убедительно: аккуратная плашка с логотипом, текст в официально-деловом стиле и почти без ошибок. Даже имя и адрес отправителя очень похожи на настоящие из службы поддержки банка. Правда, у адреса очень необычный домен в несуществующей зоне wellsfargo-com (вместо привычной .com). Но для того чтобы это заметить, надо все-таки присмотреться.
      Фишинговое письмо якобы от Wells Fargo
       
      View the full article
    • VictorOM
      От VictorOM
      Вот задумался... 🙂
      Интересно откуда они и кто у кого перенял и почему с маленькой тогда?
       

       
      Сообщение от модератора Mark D  Pearlstone Перемещено из "Опросы".
    • KL FC Bot
      От KL FC Bot
      В очередном ежемесячном обновлении компания Microsoft выпустила патчи для 74 уязвимостей, причем как минимум одна из них уже активно эксплуатируется злоумышленниками. Это повод как можно скорее установить заплатки.
      Самая опасная из закрытых уязвимостей — CVE-2022-26925
      По всей видимости, самая опасная уязвимость из свежеисправленной пачки — CVE-2022-26925, содержащаяся в Windows Local Security Authority. Ее рейтинг по шкале CVSS указан как 8.1, однако представители компании считают, что при применении в атаках NTLM Relay на службу сертификатов Active Directory, уровень опасности поднимается до 9.8 по той же шкале. Высокая степень опасности связана с тем, что в таком сценарии CVE-2022-26925 может позволить атакующему аутентифицироваться на контроллере домена.
      Под угрозой находятся пользователи операционных систем начиная с Windows 7 и серверных систем начиная с Windows Server 2008. Microsoft не делилась подробностями о эксплуатации этой уязвимости, однако судя по описанию проблемы, неизвестные злоумышленники уже активно применяют эксплойты для CVE-2022-26925 в атаках. Хорошая новость состоит в том, что по мнению экспертов эксплуатировать данную уязвимость в реальных атаках достаточно сложно.
      Исправление позволяет выявлять анонимные попытки доступа к Local Security Authority Remote Protocol и запрещать их. Однако по информации из официального FAQ установка этого обновления в Windows Server 2008 SP2 может негативно сказаться на работе некоторых программ для создания резервных копий.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Трояны-подписчики — один из проверенных временем методов выманивания денег у пользователей Android. Они проникают на телефон под видом полезных приложений и скрытно оформляют подписки на платные услуги. Сама услуга по подписке, как правило, формально действительно оказывается — вот только пользователю она, скорее всего, не нужна.
      Зарабатывают создатели таких троянов на комиссии — то есть получают некий процент от потраченных пользователем средств. Деньги при этом обычно списываются со счета мобильного телефона, хотя в некоторых схемах их могут списывать и с банковской карты. Мы решили рассказать вам о мобильных троянах-подписчиках, деятельность которых эксперты Kaspersky фиксировали в последний год.
      Платная подписка и коды из SMS
      Трояны из семейств Jocker обычно распространяются через Google Play. Злоумышленники модифицируют какие-нибудь действительно полезные приложения, добавляя в них вредоносный код, и загружают в магазин под другим названием. Это могут быть, например, приложения для обмена SMS, мониторинга артериального давления или сканирования документов. Модераторы Google Play стараются отслеживать и удалять подобные приложения, но новые появляются быстрее, чем сотрудники магазина успевают разбираться с уже замеченными.
      Приложения в Google Play, зараженные трояном-подписчиком Jocker
      Теперь о том, как работает троян-подписчик. В нормальной ситуации, чтобы оформить подписку, человек должен зайти на страницу контент-провайдера и нажать кнопку «Подписаться». Затем для противодействия автоматизации подписки поставщики услуг просят пользователя подтвердить свое желание оформить подписку, введя код из SMS. Но зловреды из семейства Jocker умеют обходить этот способ защиты.
       
      View the full article
×
×
  • Создать...