Gaming i streaming - lukratywne źródło dochodów dla przestępców

2022-04-25 10:20:00

Dostęp do kont Discord o dużym zasięgu jest obecnie bardzo pożądany przez przestępców. W ciągu zaledwie kilku miesięcy zespół G DATA zajmujący się analizą złośliwego oprogramowania wykrył prawie 70 nowych rodzajów złośliwego oprogramowania, których celem są konta Discord różnych graczy i influencerów.

W ostatnich miesiącach pojawiło się wiele nowych złośliwych programów, których zadaniem jest kradzież tzw. tokenów dostępu użytkowników Discorda. Tokeny te działają jak klucz do zamka – prawidłowy gwarantuje dostęp do konta. Losowo wybrana próba ujawniła prawie 70 różnych grup kradnących Discorda, które pojawiły się tylko w ciągu ostatnich czterech miesięcy. To niepokojąco wysoka liczba - mówi Karsten Hahn, analityk szkodliwego oprogramowania w firmie G DATA, coraz więcej uznanych pakietów złośliwego oprogramowania, takich jak Redline, ulepsza programy do kradzieży Discordów. Przede wszystkim celem tych ataków są użytkownicy Discorda dla systemu Microsoft Windows. Jednym z najbardziej znanych programów do kradzieży Discorda jest "Anarchygrabber". Wersje tego złośliwego oprogramowania dla systemów MacOS i Android są ogólnodostępne i na bieżąco aktualizowane, ale nie są jeszcze spopularyzowane na wielką skalę. Dla osób z przestępczymi zamiarami, zdobycie kodu źródłowego złośliwego oprogramowania jest przerażająco łatwe - kontynuuje Hahn. I rzeczywiście, złośliwe oprogramowanie z otwartym kodem źródłowym nie jest niczym nowym - jakiś czas temu głośno było o oprogramowaniu ransomware "Hidden Tear". Pierwotnie miał być narzędziem dydaktycznym dla badaczy bezpieczeństwa, jednak niektórzy ludzie szybko zaadaptowali złośliwy kod. 

Discord jako cel, do którego warto dążyć

Bardziej znani streamerzy i internetowi celebryci oraz influencerzy często używają Discorda jako platformy komunikacyjnej. Tam utrzymują kontakt ze swoją społecznością, promują swoje treści, sprzedają produkty, koordynują wydarzenia i oferują uczestnikom platformę czatu, na której można wymieniać się pomysłami. Oprócz czatu tekstowego, program Discord oferuje także funkcje wideokonferencji oraz możliwość przesyłania plików między sobą. Tysiące uczestników na jednym serwerze nie są rzadkością. Zwłaszcza w okresie pandemii, Discord stał się jednym z najpopularniejszych wirtualnych miejsc spotkań - stanowił połączenie forum internetowego, skrzynki pocztowej i ulubionego pubu. Osoby grające w gry online często łączą się ze sobą na boku za pomocą programu Discord, porównywalnego z czatem głosowym Teamspeak. 

Oczywiście omawiane są tu także sprawy prywatne. Ludzie powierzają sobie nawzajem bardzo osobiste sprawy, wymieniają się różnymi informacjami, a także zdjęciami. Każda osoba, która przejmie czyjeś konto Discord, ma dostęp do wszystkich informacji, jakie użytkownik przekazał za jego pośrednictwem. To, co dla "normalnych" użytkowników jest żenującym incydentem, dla właścicieli kanałów o dużym zasięgu może stać się katastrofą. Jeśli więc komuś uda się na przykład przejąć konto znanego streamera Twitch lub YouTubera w złych zamiarach, ma to natychmiastowe konsekwencje.  

Utrata zaufania

W rękach osoby trzeciej znajdują się nie tylko wszystkie funkcje kontrolne i administracyjne serwera Discord i kanałów czatu, ale także inne dane, takie jak: adresy e-mail, dzienniki czatu i wszystkie pliki przesyłane między właścicielem konta a innymi użytkownikami. Zwłaszcza w kontekście rosnącej monetyzacji treści przez twórców, w tym miejscu robi się ciekawie, ponieważ Discord obsługuje również funkcję darowizn, która umożliwia członkom przekazywanie kwot pieniężnych. Jeśli atakującemu uda się zmanipulować tę funkcję, może określić siebie jako odbiorcę płatności.

Cyfrowe branie zakładników

Podobnie jak w przypadku niektórych kanałów na Instagramie, przestępcy mogą również wysyłać do użytkowników wiadomości z prośbą o pieniądze - czy to pod pretekstem ekskluzywnej oferty, czy też pod pretekstem nagłej potrzeby finansowej.

W ten sposób można również szybko rozprzestrzeniać inne złośliwe oprogramowanie, np. ransomware. Wiadomość na czacie z rzekomo atrakcyjnym linkiem jest szybko wysyłana do tysięcy użytkowników. 

Środki ochrony i postępowania w sytuacjach awaryjnych

Cały czas pojawiają się nowe programy atakujące Discord, które są wykrywane przez oprogramowanie G DATA. Fragment listy aktualnych próbek złośliwego oprogramowania można znaleźć na końcu tego artykułu.

Aby skutecznie zabezpieczyć się przed kradzieżą i niewłaściwym wykorzystaniem własnego konta, należy wykonać cztery kroki: 

  • zainstalować aktualne rozwiązanie ochronne i aktualizować je na bieżąco,
  • w przypadku infekcji, zainstalować ponownie Discord i zmienić hasło, 
  • aktywować uwierzytelnianie dwuskładnikowe (jeśli jeszcze tego nie zrobiliśmy),
  • sceptycznie podchodzić do spontanicznych wiadomości bezpośrednich, w których inny użytkownik prosi o pieniądze.

IoC

Poniżej znajduje się fragment listy osób kradnących na platformie Discord, które firma G DATA rozpoznała w momencie publikacji tego artykułu. Pełna lista jest o wiele dłuższa.

13b332d99afe7d29f55582395d45310a577de2f9475b26995a7ed83a3e799471
1530ec50dedb53e842ebfda646c8a6ed0c7eb37d404f1a524849e6759aece3d1
2641841b324cb4b58d2e890fdfea8a57919786a4bde38648c9abbc0bf00bdf70
2979faad3ad346fddef872ccd5e5ab5f6318738d1802b0d5399cddba23073222
31d5204b35e7581a9cb9a1408972505dd713677293a9c9ee8ea8cffd7e7d6c53
37bd9ab5f677675f06d750a5183259e055cc99201b04aa6a18c6402e0cb44b9d
3868efe050ed4f3c78bc2921d52a94bbab59add69f112e6a0771e0a941e78871
458b69828b08f8a70ce39d89f139c0b4c4cc0b7e89723ab3be858614f5cb512a
4d92ce29beeea395c4d01d226a1c8b601a84def1621a15a60d001539cd5499bd
5125b23efe18cd7a9e1469d9137bc38b478b1ce3cdf9cca1ee5f8b4423f59f67
52fa868c65c37b35d6629f93d0013d2b14cc24ca2b90fd13db875c4dd1d29042
5f78f6067d0f66be71a737e74bd1885029ed7a7a27f05c6cdda9ab9670597bf4
66088f23d477f88347a4b7c41b795bd8a3fd3d4cce7416bdcb304b6ea242875f
67175970448b47e113ef2fe0a45e7c9619d8e576887def624950beda0faabd0a
70a209cb6287f9f93032e7969a172240231759a2120a1c1bcd9c5e5713fa08a7
79ea3ab375408285e7942ce57eb70eb11cc2c5fdb9cabcd28d14092949313a55
7f09463235cb1b5bfdb4108210de2816ea2fc209d8a35a669fc0b4f52f4cee25

Media: