Credit image: Pixabay
Discord terus menjadi tempat berkembang biaknya aktivitas jahat oleh peretas. Tapi, yang biasanya digunakan untuk distribusi malware, mengambil data menjadi sasaran pelaku untuk mencuri token autentikasi, kini yang terbaru Discord jadi sarang Kelompok APT.
Sebuah laporan baru menjelaskan bahwa platform tersebut sekarang juga diadopsi oleh peretas APT (Advanced Persistent Threat), yang menyalahgunakan Discord untuk menargetkan infrastruktur penting.
Skala masalah ini semakin besar dalam beberapa tahun terakhir, namun Discord belum mampu menerapkan langkah-langkah efektif untuk mencegah penjahat dunia maya, mengatasi masalah ini secara tegas, atau setidaknya membatasinya.
|
Baca juga: 5 Tanda Serangan APT |
Penyalahgunaan Discord
Pelaku menyalahgunakan Discord dengan tiga cara:
-
Memanfaatkan jaringan pengiriman konten (CDN) untuk mendistribusikan malware.
-
Memodifikasi klien Discord untuk mencuri kata sandi.
-
Menyalahgunakan webhook Discord untuk mencuri data dari sistem korban.
CDN Discord biasanya digunakan untuk mengirimkan muatan berbahaya ke mesin korban, membantu operator malware menghindari deteksi dan pemblokiran AV saat file dikirim dari domain ‘cdn.discordapp.com’ yang tepercaya.
Data menunjukkan bahwa setidaknya 10.000 sampel malware menggunakan Discord CDN untuk memuat muatan tahap kedua pada sistem, terutama pemuat malware dan skrip pemuat generik.
Muatan tahap kedua yang diambil melalui CDN Discord terutama adalah stealer RedLine, Vidar, AgentTesla, zgRAT, dan pencuri Raccoon.
|
Baca juga: OceanLotus Sindikat APT Berbahaya |
17 Keluarga Stealer
Terkait penyalahgunaan webhook Discord untuk pencurian data dari perangkat korban, 17 keluarga stealer berikut telah menerapkan praktik tersebut sejak Agustus 2021:
-
MercurialGrabber
-
AgentTesla
-
UmbralStealer
-
Stealerium
-
Sorano
-
zgRAT
-
SectopRAT
-
NjRAT
-
Caliber44Stealer
-
InvictaStealer
-
StormKitty
-
TyphonStealer
-
DarkComet
-
VenomRAT
-
GodStealer
-
NanocoreRAT
-
GrowtopiaStealer
Keluarga malware ini akan mengumpulkan kredensial, cookie browser, dompet mata uang kripto, dan data lainnya dari sistem yang terinfeksi, lalu mengunggahnya ke server Discord menggunakan webhook.
Pelaku ancaman yang mengendalikan server Discord ini kemudian dapat mengumpulkan paket data yang dicuri untuk digunakan dalam serangan lainnya.
Pelanggar terbesar pada tahun 2023 adalah Agen Tesla, UmbralStealer, Stealerium, dan zgRAT, yang semuanya menjalankan kampanye dalam beberapa bulan terakhir.
|
Baca juga: Grup APT K3chang Incar Sasaran Elit |
Penyalahgunaan Webhook
Mirip dengan alasan penyalahgunaan CDN Discord, webhook platform memberikan cara diam-diam bagi penjahat dunia maya untuk mengambil data, sehingga lalu lintas tampak tidak berbahaya bagi alat pemantauan jaringan.
Selain itu, webhook mudah diatur dan digunakan dengan pengetahuan pengkodean minimal, memungkinkan eksfiltrasi real-time, hemat biaya, dan memiliki manfaat tambahan berupa ketersediaan dan redundansi infrastruktur Discord.
APT Bergabung
Kelompok APT mulai menggunakan Discord, terutama mereka yang menyalahgunakan alat standar yang memungkinkan mereka memadukan aktivitas mereka dengan banyak aktivitas lainnya, sehingga pelacakan dan atribusi hampir mustahil dilakukan.
Pencegahan seperti kontrol server yang terbatas dan kehilangan data akibat risiko penutupan akun tidak lagi cukup untuk mencegah APT menyalahgunakan fitur Discord.
Potensi munculnya operasi malware APT yang mengeksploitasi fungsionalitas Discord memperkenalkan lapisan kompleksitas baru pada lanskap ancaman.
APT dikenal karena serangannya yang canggih dan tepat sasaran, dan dengan menyusup ke platform komunikasi yang banyak digunakan seperti Discord, mereka dapat secara efisien membangun pijakan jangka panjang dalam jaringan, sehingga membahayakan infrastruktur penting dan data sensitif.
Meskipun penyalahgunaan Discord oleh APT masih terbatas pada tahap pengintaian awal serangan, perkembangannya masih mengkhawatirkan.
Sayangnya, skala platform, pertukaran data terenkripsi, sifat dinamis dari ancaman dunia maya, dan fakta bahwa fitur yang disalahgunakan memiliki tujuan yang sah bagi sebagian besar pengguna membuat Discord hampir tidak mungkin membedakan yang buruk dari yang baik.
Selain itu, pemblokiran akun yang dicurigai melakukan perilaku jahat tidak menghentikan pelaku kejahatan untuk membuat akun baru dan melanjutkan aktivitasnya, sehingga masalah ini kemungkinan akan bertambah buruk di masa mendatang.
Sumber berita:
