Согласно новому исследованию, киберпреступники все чаще используют инструменты в таких приложениях для совместной работы, как Discord и Slack, для распространения и контроля вредоносных программ в эпоху удаленной работы.
Во время пандемии коронавируса исследователи Talos Intelligence из Cisco зафиксировали значительный рост атак с использованием платформ удаленного сотрудничества. Сюда входят трояны удаленного доступа (RAT), кражи информации, вредоносное ПО для Интернета вещей и другие угрозы.
Исследователи ссылаются на переход к удаленной работе и растущую зависимость от инструментов для совместной работы в качестве причины увеличения числа атак. Киберпреступники, использующие инструменты совместной работы, не новость. Но возросшая зависимость от рабочих приложений заставила все больше злоумышленников изменить свою тактику.
Атаки напрямую не используют уязвимые места кода в Slack или Discord. Киберпреступники используют кажущиеся заслуживающими доверия ссылки в Slack или Discord для передачи вредоносного ПО жертвам. Другие злоумышленники используют Discord для удаленного управления кодом, запущенным на зараженных машинах, и кражи данных с этих устройств.
«Платформы для совместной работы позволяют злоумышленникам проводить кампании с использованием законной инфраструктуры, которая не может быть заблокирована во многих сетевых средах», — написал Талос в своем блоге.
Кроме того, некоторые вредоносные кампании даже не требуют, чтобы жертва имела на своих машинах Slack, Discord или другие приложения для совместной работы. Злоумышленники могут просто отправлять по электронной почте ссылки на вредоносные файлы, размещенные на этих платформах.
Исследователи Cisco говорят, что злоупотребление функциями хостинга файлов на таких платформах, как Discord и Slack, стало одной из самых распространенных атак. Некоторые из вредоносных программ, загружаемых на серверы Slack и Discord, включают Phoenix Keylogger и LimeRAT.
Пользователи, вероятно, больше доверяют ссылкам Discord и Slack во время глобального кризиса в области здравоохранения, но злоумышленники также пользуются другими функциями. Например, сжатие файлов и шифрование HTTPS могут скрыть вредоносное ПО. Файлы, размещенные в часто используемых приложениях, также сложнее заблокировать или удалить.
«Злоумышленники всегда пытаются найти новые и эффективные способы запустить вредоносное ПО в системах, и одна из самых больших проблем — это распространение», — пишут исследователи. «По мере роста популярности чат-приложений, таких как Discord, Slack и многие другие, организациям необходимо оценить, как злоумышленники могут злоупотреблять этими приложениями и скольким из них следует разрешить работу внутри вашего предприятия».
Другие фирмы, занимающиеся кибербезопасностью, подтвердили выводы Talos. Еще в феврале Zscaler заявил, что ежедневно отслеживает до двух десятков вариантов вредоносного ПО, доставляемых по мошенническим ссылкам в Discord.
Cisco рекомендует соблюдать осторожность при переходе по ссылкам, размещенным или отправленным с помощью инструментов для совместной работы. Хорошее практическое правило — никогда не переходить по ссылкам от кого-то, кого вы не знаете или которому не доверяете.
