Cyberkriminelle zocken Gamer via Discord ab

Lockdown-Zeit ist Gaming-Zeit, die Spielewirtschaft floriert angesichts der COVID-19-Pandemie und das bleibt auch Cyberkriminellen nicht verborgen. Das ThreatLabZ-Team von Zscaler entdeckte nun über 100 Kampagnen allein in den letzten zwei Monaten, bei denen Cyberkriminelle es ganz gezielt auf Gamer bzw. deren CPU und GPU abgesehen haben. Das Ziel ist in der Regel, die Rechner und Graphikkarten mit Kryptominern zu infizieren und Kryptowährungen wie Monero und Co. zu schürfen.

Im Rahmen der Analyse deckte das ThreatLabZ-Team verschiedene Kampagnen auf, die für ihre Infektionskette auf den Dienst cdn.discordapp.com zurückgreifen. Die Researcher analysierten unterschiedliche Malware-Kategorien, die über die CDN-Infrastruktur der Discord-App bereitgestellt werden, darunter Ransomware, Stealer und Cryptominer. Auf diesem Dienst werden nicht nur bösartige Dateien gehostet, sondern auch die Command-and-Control- (C&C-)Kommunikation abgewickelt. Um die Machenschaften zu vertuschen werden mit Schadcode verseuchte Dateien umbenannt und Namen von Spielen verwendet. Zusätzlich werden Dateisymbole an Spielesoftware angelehnt.

Die untersuchten Kampagnen starten ihren Angriff in der Regel mit Spam-E-Mails, in denen Benutzer mit legitim aussehenden Vorlagen dazu verleitet werden, die nächste Stufe der Payloads herunterzuladen. Dabei wurden die folgenden vier Malware-Familien entdeckt: Epsilon-Ransomware, Redline-Stealer, XMRig-Bohrer und Discord-Token-Grabber. Diese Kampagne nutzt Discord-Dienste, um eine URL zu bilden, die bösartige Payloads hostet: „cdn.discordapp.com/attachments/ChannelID/AttachmentID/filename(.)exe“

 

Die technische Analyse

Discord ist eine Chat-Anwendung, mit der Benutzer in Echtzeit miteinander chatten können. Die Spieler können mit Sprachanrufen, Chat-Nachrichten und Videoanrufen kommunizieren und sich gegenseitig Dateien senden. Dieser CDN-Dienst wurde eigentlich als Content-Distribution-Network zur Bereitstellung statischer Inhalte für Benutzer gestartet, hat aber zwischenzeitlich erhebliche Risiken offenbart. Angreifer nutzen Discord oft, um bösartige Dateien zu verbreiten und Informationen zu stehlen. Dazu wird beispielsweise eine bösartige Datei in einen Discord-Kanal hochgeladen und der öffentliche Link mit anderen geteilt, so dass selbst Nicht-Discord-User eine Datei herunterladen können. Eine via Discord gesendete Datei bleibt für immer erhalten. Selbst wenn der Angreifer die Datei innerhalb von Discord löscht, kann ihr Link immer noch zum Herunterladen der bösartigen Datei verwendet werden.

Discord ist in erster Linie eine Chat-Plattform, die für Gamer entwickelt wurde. Aufgrund ihrer Popularität wird sie zunehmend auch von anderen professionellen Communities zum Austausch von Informationen genutzt und dementsprechend auch von Malware-Akteuren genutzt. Durch die Funktionsweise des Dienstes bleiben allerdings bösartige Anhänge öffentlich zugänglich und stellen somit eine Gefahr für den Anwender dar. Die technische Analyse, wie die Verbreitung der Malware stattfindet, ist im ThreatLabZ-Blog nachzulesen unter: https://www.zscaler.com/blogs/security-research/discord-cdn-popular-choice-hosting-malicious-payloads

#Zscaler