Publicidade

Criminosos estão abusando de links do Discord e do Slack para enviar malware

Por| Editado por Jones Oliveira | 08 de Abril de 2021 às 10h23

Link copiado!

master1305/Envato
master1305/Envato

Com a pandemia do novo coronavírus (SARS-CoV2) e a necessidade de se manter isolada, a população global passou a recorrer às plataformas de colaboração e de comunicação para manter contato com seus amigos, parentes ou colegas de trabalho. O Slack, que já era um dos líderes nesse setor, cresceu ainda mais ao longo do último ano; o mesmo ocorreu com o Discord, que é focado no público gamer. Porém, algumas falhas estruturais em ambos os serviços estão sendo abusadas por criminosos para disseminar vírus.

De acordo com uma recente pesquisa da Cisco Talos, criminosos cibernéticos estão se aproveitando de uma funcionalidade benigna desses ambientes para espalhar spywares, trojans de acesso remoto (remote access trojan ou RAT) e até mesmo ransomwares, que sequestram dados e solicitam um resgate em dinheiro. Entre as variantes detectadas pela equipe de especialistas, encontram-se cepas famosas como AgentTesla, AsyncRAT e Formbook — só para citar algumas.

O que acontece é que tais plataformas de comunicação usam redes de distribuição de conteúdo (CDNs, na sigla original em inglês) para armazenar arquivos e permitir que o usuário crie links públicos para acessá-los. “Os arquivos podem ser enviados para o Slack, e os usuários podem criar links externos que permitem que os arquivos sejam acessados, independentemente de o destinatário ter o Slack instalado ou não”, explica a Cisco. Pelo domínio confiável, a vítima acaba clicando no link que contém a carga maliciosa.

Continua após a publicidade

“Um dos principais desafios associados à entrega de malware é garantir que os arquivos, domínios ou sistemas não sejam removidos ou bloqueados. Aproveitando esses aplicativos de bate-papo que provavelmente são permitidos, eles estão removendo vários desses obstáculos e aumentando muito a probabilidade de que o anexo chegue ao usuário final”, destacam os pesquisadores. Na maioria das vezes, a carga é distribuída de forma compacta (.ACE, .GZ, .TAR, .ZIP etc.), o que dificulta ainda mais sua identificação.

Mais preocupante ainda é o fato de que esse tipo de atividade foi observada em diversos idiomas, incluindo inglês, espanhol, francês, alemão e português. Segundo a Cisco, as próprias plataformas precisam adotar medidas para impedir tais campanhas; porém, o usuário final também deve ficar atento e não abrir qualquer link que receber, especialmente se for de alguém de fora de seu círculo de amizades ou ambiente profissional.

Fonte: ThreatPost