Attività dannosa nelle chat di Discord

In seguito ad una recente ricerca, analizziamo diversi scenari alla base dell’attività dannosa su Discord.

Nei sei anni dal lancio del servizio di chat e VoIP di Discord, la piattaforma è diventata uno strumento popolare che ha dato forma alle comunità di interesse online, soprattutto per i gamers. Tuttavia, come nel caso di qualsiasi altra piattaforma che ospita contenuti generati dagli utenti, Discord può essere attaccato. Le ampie opzioni di personalizzazione di Discord aprono altresì la porta ad attacchi contro gli utenti comuni, sia sul server di chat che fuori. Una recente ricerca sulla sicurezza di Discord ha rivelato diversi scenari di cyberattacco legati al suo servizio di chat, alcuni dei quali possono essere veramente pericolosi per gli utenti. Ecco come proteggersi.

Malware diffuso attraverso Discord

I file dannosi distribuiti attraverso Discord rappresentano la minaccia più evidente. Uno studio recente ha identificato diverse decine di tipi di malware. Chiamiamo questa minaccia “evidente” semplicemente perché la condivisione di file attraverso Discord è molto facile; ad ogni file caricato sulla piattaforma viene assegnato un URL permanente, formattato nel seguente modo:

cdn.discordapp.com/attachments/{ ID canale}/{ ID file}/{nome file}

La maggior parte dei file possono essere scaricati gratuitamente da chiunque abbia il link.

Lo studio descrive un esempio di attacco reale: un sito web falso che offre il download di Zoom, un client per videoconferenze. Il sito web sembra quello reale, e il file dannoso è ospitato su un server Discord. Questo aggira le restrizioni sul download di file da fonti non affidabili. La logica è che i server di un’app popolare utilizzata da milioni di persone abbiano meno probabilità di essere bloccati da soluzioni antimalware.

Il “lifehack” dannoso è tanto ovvio quanto i mezzi per combatterlo. Per determinare il livello di pericolosità di un file, le soluzioni di sicurezza di alta qualità non controllano esclusivamente la fonte del download. Ad esempio, gli strumenti di Kaspersky rilevano immediatamente le funzionalità dannose la prima volta che un utente cerca di scaricare il file, e poi, con l’aiuto di un sistema di sicurezza basato sul cloud, avvisanno gli altri utenti facendogli sapere che i file devono essere bloccati.

Tutti i servizi che permettono l’upload di contenuti generati dagli utenti affrontano problemi di cattiva utilizzazione. Ad esempio, i siti di hosting web gratuiti possono essere utilizzati per creare pagine di phishing, mentre le piattaforme di condivisione di file sono spesso utilizzate per diffondere Trojan. I servizi che offono la compilazione di moduli possono essere usati come canali di spam. E la lista continua. I proprietari delle piattaforme cercano instanzabilmente di combattere il problema, ma i risultati sono contrastanti.

Gli sviluppatori di Discord hanno chiaramente bisogno di implementare alcune misure per proteggere gli utenti. Per esempio, i file utilizzati su un particolare server di chat non devono essere resi disponibili agli utenti di tutto il mondo. Controllare e bloccare automaticamente i malware conosciuti è sempre saggio. In ogni caso, questo è il problema meno insolito di Discord, e la forma di combatterlo non è diversa da quella utilizzata per combattere la distribuzione di malware. Tuttavia, non è l’unica minaccia che gli utenti devono affrontare.

Bot dannosi

Un altro studio recente dimostra quanto sia facile sfruttare il sistema del bot di Discord. I bot estendono le funzionalità del server di chat in vari modi, e Discord offre una vasta gamma di opzioni per personalizzare le chat degli utenti. Un esempio di codice dannoso legato alla chat è stato pubblicato di recente su (e abbastanza rapidamente rimosso da) GitHub: utilizzando principalmente le capacità fornite dall’API di Discord, l’autore è stato in grado di eseguire un codice dannoso sul computer di un utente. Il codice potrebbe avere un aspetto simile a questo:

Dimostrazione di un programma dannoso in esecuzione sul computer di un utente a seguito di un comando lanciato da una chat Discord

Un chatbot dannoso lancia un programma non autorizzato sul computer di un utente dopo aver ricevuto un comando attraverso una chat di Discord. Fonte

In uno scenario di attacco, il codice dannoso si basa su un client Discord installato a nivello locale e viene lanciato automaticamente in fase di avvio. L’installazione di un bot da una fonte non affidabile può portare ad una infezione di questo tipo.

Inoltre i ricercatori hanno esaminato un altro scenario di cattivo uso di Discord che non si basa sul fatto che l’utente abbia installato un client Discord. In questo caso, il malware utilizza il servizio di chat per comunicare. Grazie all’API pubblica, al processo di registrazione non complicato e alla crittografia di base dei dati, una backdoor può facilmente e comodamente utilizzare Discord per inviare al suo operatore i dati relativi al sistema infetto e, a sua volta, ricevere comandi per eseguire il codice, caricare nuovi moduli dannosi e molto altro.

Questo tipo di scenario è piuttosto pericoloso dato che semplifica notevolmente il lavoro degli aggressori, che non hanno bisogno di creare un’interfaccia di comunicazione con i computer infetti, ma possono invece utilizzare un qualcosa di già disponibile. Allo stesso tempo, rende un po’ più complicato il rilevamento di attività dannose; le conversazioni tra la backdoor e il suo operatore sembrano normali attività degli utenti in una chat popolare.

Protezione per gamers

Anche se le minacce di cui sopra si applicano a tutti gli utenti di Discord, si riferiscono principalmente a coloro che utilizzano Discord come un game add-in, ovvero per la comunicazione vocale e scritta, lo streaming, la raccolta di statistiche di gioco, e così via. Tale uso implica una sostanziale personalizzazione e aumenta i rischi degli utenti rendendoli più esposti alle estensioni dannose.

L’ambiente rilassato e apparentemente sicuro rappresenta in realtà un’ulteriore minaccia, incrementando il tasso di successo delle tecniche di social engineering – l’esca va giù più facilmente in una chat accogliente con persone che credi siano tuoi amici. A questo proposito, raccomandiamo di seguire le stesse regole di igiene digitale su Discord come si fa altrove sul web: 1) non cliccare su link sospetti o scaricare file strani; 2) controllare le offerte che sembrano troppo belle per essere vere; e 3) astenersi dal condividere qualsiasi informazione personale o finanziaria.

Per quanto riguarda i trojan e le backdoor basati su Discord o semplicemente distribuiti attraverso la piattaforma, è bene sapere che non sono speciali o diversi da altri tipi di malware. Per proteggervi, usate un'app antivirus affidabile, tenetela sempre in funzione (anche quando installate un software o aggiungete un bot a un server di chat) e, infine, prestate attenzione ai suoi avvisi.

Le prestazioni non devono essere una preoccupazione. Per esempio, i nostri prodotti di sicurezza includono una “modalità gioco” che minimizza l’overhead senza compromettere la protezione.

Consigli