Discord вирус или нет

Обновлено: 03.07.2024

По следам недавних исследований рассказываем про несколько сценариев вредоносной активности в Discord.

За шесть лет с момента запуска чат- и VOIP-сервиса Discord он стал популярным инструментом для создания сообществ по интересам, особенно среди геймеров. Но, как и любую другую платформу с пользовательским контентом, Discord можно использовать для вредоносной активности. Широкие возможности кастомизации Discord также позволяют атаковать обычных пользователей как внутри чат-сервера, так и за его пределами. В недавних исследованиях безопасности Discord раскрыто сразу несколько сценариев кибератак, связанных с чат-сервисом. Давайте разберемся, какие из них могут быть по-настоящему опасны для пользователей — и как от них можно защититься.

Распространение вирусов через Discord

Начнем с самой очевидной угрозы: через Discord распространяются вредоносные файлы. В свежем исследовании было выявлено несколько десятков типов зловредов. Очевидной угрозой это является просто потому, что каждый загружаемый в Discord файл получает постоянный URL вот такого вида:

В большинстве случаев файл может свободно скачать любой обладатель этой ссылки. Естественно, злоумышленники пытаются этим воспользоваться.

Исследование описывает практический пример атаки: поддельный сайт, предлагающий скачать клиент для веб-конференций Zoom. Дизайн сайта копирует оригинал, а сам вредоносный файл как раз загружен на сервер Discord. Так злоумышленники пытаются избежать ограничений по загрузке файлов из сомнительных источников. Ставка делается на то, что серверы популярного приложения, которым пользуются миллионы людей, с меньшей вероятностью будут заблокированы защитными решениями.

Неправомерное использование — проблема всех сервисов, позволяющих загружать пользовательский контент. На бесплатных хостингах создают фишинговые страницы, через обменники файлов распространяют троянов, шлют спам через службы заполнения форм и так далее. Владельцы большинства таких платформ с переменным успехом борются с вредоносным использованием.

Разработчикам Discord явно стоит перенять какие-то базовые средства защиты пользователей. Например, не обязательно делать файлы, используемые внутри конкретного чат-сервера, доступными всему миру. Также наверняка стоит проверять и автоматически блокировать известное вредоносное ПО. В любом случае это наименее экзотическая проблема Discord, бороться с которой можно так же, как с любым другим методом распространения зловредов. Но есть и более специфические угрозы.

Зловредные боты

Другое свежее исследование показывает, как легко эксплуатировать систему ботов в Discord. Бот так или иначе расширяет функциональность чат-сервера. Возможности кастомизации собственных чатов в Discord — широчайшие, что позволяет их использовать во вредоносных целях. Один из примеров такого зловреда был недавно опубликован (и достаточно оперативно удален) на Github: пользуясь преимущественно возможностями программного интерфейса Discord, автор смог выполнить произвольный код на компьютере пользователя. Выглядеть это может примерно так:

Демонстрация запуска произвольной программы на компьютере пользователя после получения команды через чат в Discord

Демонстрация запуска вредоносным чат-ботом произвольной программы на компьютере пользователя после получения команды через чат в Discord. Источник

В одном из вариантов атаки вредоносный код в том числе умеет перезапускаться после перезагрузки компьютера, используя для этого установленный на компьютере клиент Discord. Такую заразу можно запросто подцепить после установки бота из сомнительного источника.

Авторы этого исследования также рассмотрели и другой сценарий вредоносного применения Discord, в котором даже не важно, установлен у пользователя клиент Discord или нет. В этом сценарии вредоносная программа использует чат-сервис для коммуникации. Благодаря открытому API, простой регистрации и шифрованию данных, на базе Discord достаточно легко и удобно организовать передачу бэкдором организатору атаки данных о зараженной системе и получение в ответ команд на выполнение кода, загрузку других вредоносных модулей и так далее.

Защита для геймеров

Хотя приведенные выше примеры угроз опасны для всех пользователей Discord, выводы нужно сделать прежде всего тем, кто активно использует Discord как надстройку для компьютерных игр — для общения голосом и текстом, стриминга, сбора геймерской статистики и так далее. Поскольку этот вариант использования Discord предполагает серьезную кастомизацию, есть риск найти и установить какое-нибудь зловредное расширение.

Что касается разобранных выше троянов и бэкдоров, как прямо связанных с Discord, так и просто распространяемых через него, то они принципиально не отличаются от другого вредоносного ПО. Для эффективной защиты от них достаточно использовать надежный антивирус, не выключать его во время игр и внимательно относиться к его рекомендациям. И особенно — при установке любого софта, включая добавление ботов в чат-сервер.

О производительности можно не переживать: например, наши защитные решения имеют специальный игровой режим, который сводит к минимуму потребление ресурсов компьютера без существенного ущерба для качества защиты.

Discord virus

Мы предлагаем Reimage для обнаружения поврежденных файлов. Исправьте их с помощью бесплатного ручного ремонта или приобретите полную версию.Более подробная информация о Reimage. | ползьовательское соглашение | политика конфиденциальности Мы предлагаем Intego для обнаружения поврежденных файлов. Исправьте их с помощью бесплатного ручного ремонта или приобретите полную версию.Более подробная информация о Intego. | ползьовательское соглашение | политика конфиденциальности

RAT, которые являются общими для вирусных атак Discord, включают:

  • NanoCore (Trojan.Nancrat)
  • SpyRat (Backdoor.Ratenjay)
  • njRAT (W32.Spyrat)

Все упомянутые выше вирусы способны различать вредоносные действия на целевом ПК, в том числе отслеживать поведение жертвы, записывать нажатия клавиш, делать скриншоты, использовать веб-камеру для записи видео, форматирования дисков, запуска или отключения различных системных процессов а также установку в систему дополнительных вредоносных файлов. Прежде чем это произойдет, пользователям рекомендуется регулярно проверять свои машины с помощью программного обеспечения безопасности и позаботиться об удалении Discord вируса, если он был обнаружен на устройстве.

Кроме того, некоторые инструменты взлома рекламируются как законные. Авторы вредоносных программ утверждают, что инструмент взлома может якобы украсть пароли других пользователей Discord. Однако, как только жертвы соглашаются загрузить приложение, они сами становятся жертвами фишинг-атаки и обманываются. Невезучие пользователи затем получают вредоносное ПО, способное украсть личную информацию и распространять RAT.

Discord virus

Целями Discord вируса обычно являются геймеры и стримеры. Последние часто используют программу чтобы стримить игровые сессии для развлекательных целей. Хакеры часто нацелены на личную информацию, связанную с онлайн-играми, например:

  • Данные для входа;
  • Внутреннюю валюту;
  • Контакты;
  • Предметы, другое.

Эти данные могут использоваться для денежной выгоды так же, как они используются хакерами, когда они крадут конфиденциальную информацию, такую как имя и фамилия, адрес, адрес электронной почты, учетные данные в социальных сетях и т.д. (которые также могут быть собраны киберпреступниками в процессе).

Discord virus

Многие пользователи использовали чат-программы со времен mIRC и ICQ, позже с появлением Skype и Facebook. Геймеры использовали для общения TeamSpeak, Mumble и Ventrilo, но те часто требовали, чтобы игроки делились различными IP-адресами и/или не были свободны в использовании и были ресурсоемкими, что является огромным недостатком при игре в игры.

К сожалению, плохие актеры отреагировали на быстро развивающуюся славу приложения и приготовились использовать Discord для своих злонамеренных действий. Хотя некоторые преступники размещали вирусы на созданных серверах, другие использовали платформу в качестве альтернативы черному, отмеченному на Dark Web, и продавали конфиденциальную информацию или вредоносное ПО.

Вредоносная программа Discord

Discord вирус это вредоносная угроза, способная украсть важную информацию целевого пользователя

Способы распространения Discord вируса

Пользователи Discord могут загружать файлы, такие как изображения, видео и другие вложения, используя функцию чата. Поскольку приложение позволяет любому пользователю загружать практически все виды данных, авторы вредоносных программ могут использовать эту функцию в своих интересах. В то время как команда Discord применяла дополнительные меры безопасности с течением времени, вредоносное ПО Discord по-прежнему распространялось и стало восприниматься всерьез.

На пользователях просто наживаются, заставляя их открыть вредоносные вложения в сложных фишинг-атаках через функцию чата на созданных серверах. Некоторым злоумышленникам даже не нужно создавать свои собственные серверы, поскольку они могут вручную размещать вирус на сервере, на который они были приглашены.

Discord virus

Удалите Discord вирус со своего компьютера

Чтобы удалить Discord вирус с вашего компьютера, вам придется использовать надежное программное обеспечение безопасности. Трояны удаленного доступа часто используют обманные методы и не показывают никаких признаков присутствия. Поэтому обнаружить вредоносное ПО без использования профессиональных инструментов может быть невозможно.

Загрузите Reimage Intego , SpyHunter 5 Combo Cleaner или Malwarebytes для эффективного удаления Discord вируса. Перед выполнением сканирования убедитесь, что программное обеспечение безопасности обновлено. Если вредоносное программное обеспечение предотвращает запуск антивируса, зайдите в безопасном режиме с использованием драйверов сети, как описано ниже.

Реверс малвари

Издание Bleeping Computer сообщило о появлении новой малвари, которая эксплуатирует легитимный клиент Discord. ИБ-специалист MalwareHunterTeam обнаружил малварь Spidey Bot, которая превращает Discord для Windows в средство для шпионажа и кражи информации.

Так как Discord является Electron-приложением, почти вся его функциональность основана на HTML, CSS и JavaScript, что позволяет злоумышленникам модифицировать ключевые файлы и вынудить клиента заниматься вредоносной активностью.

Во время установки Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%\Discord\[version]\modules\discord_modules\index.js и %AppData%\Discord\[version]\modules\discord_desktop_core\index.js. Затем вредонос завершит работу Discord и перезапустит программу для вступления изменений в силу.


Измененный index.js

После запуска вредоносный JavaScript будет использовать различные команды Discord API и функции JavaScript для сбора информации о пользователе, которая затем будет передана злоумышленнику через веб-хук Discord. В числе этих данных будут:

  • Discord-токен пользователя;
  • часовой пояс жертвы;
  • разрешение экрана;
  • локальный IP-адрес;
  • публичный IP-адрес (WebRTC);
  • информация о пользователе, в том числе имя пользователя, адрес электронной почты, номер телефона и так далее;
  • данные о том, хранит ли жертва платежную информацию;
  • user agent браузера;
  • версия Discord;
  • первые 50 символов из буфера обмена жертвы.


После передачи этой информации своим операторам малварь выполнит функцию fightdio(), которая действует как бэкдор. Данная функция будет использоваться для подключения к удаленному сайту и ожидания дополнительных команд. Это позволит злоумышленнику выполнять другие вредоносные действия, включая кражу платежной информации, выполнение команд на машине жертвы и установку другого вредоносного ПО.


Аналитики отмечают, что подобные атаки опасны тем, что не демонстрируют никаких внешних признаков компрометации. Заметить подозрительную активность можно лишь обнаружив странные вызовы API и веб-хуков. Хуже того, защитные решения пока плохо обнаруживают эту малварь. Так, согласно VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot.

На выручку сотрудникам пришли различные сервисы, которые позволяют быстро и удобно общаться большим группам людей. Наиболее популярными стали Zoom, Slack и Discord. Каждый день миллионы человек собирают в этих сервисах групповые чаты и конференции для обсуждения рабочих (не только) моментов. Однако это сделало сервисы желанной целью для злоумышленников.


Вопросы безопасности этих платформ рассмотрел аналитический отдел компании Falcongaze.

Как хакеры могут взломать устройство человека через эти платформы?

На данный момент Zoom является самым популярным сервисом для общения в условиях пандемии. На платформе собираются видеоконференции для различных целей: от совещания по распределению бюджета между отделами компаний до дружеских вечеринок. Популярность привела к тому, что появились Zoom-бомберы — люди, которые заходят в комнату видеоконференции и мешают нормальному взаимодействию между участниками. Например, злоумышленник может включить громкие звуки или контент неприемлемого содержания.

На первый взгляд может показаться, что проблема не такая уж и серьёзная: кто-то просто «гуляет» по чужим конференциям и неуместно шутит. Можно просто удалить человека из чата — и проблема решена. Однако злоумышленники могут и не устраивать свои пранки. Можно просто незаметно подслушать совещание или обсуждение ноу-хау компании, записать это и потом продать информацию. Такой инцидент может привести к серьёзным последствиям.

Вторым очень популярным методом атаки с помощью Zoom является распространение зловредных программ, вшитых в установщик приложения. Например, троян ZAPIZ или бэкдор RevCode WebMonitor RAT просто вшивают в легитимный установщик Zoom и распространяют среди пользователей. Как итог на рабочем столе жертва видит установленное приложение Zoom, но наряду с самой программой устанавливается и вредонос, который может иметь самый различный функционал: от простого сбора информации до изменения и удаления файлов и исполнения компьютером жертвы команд злоумышленников.

Slack

Есть случаи, когда злоумышленники использовали Slack для коммуникации вредоносных программ с командным центром. Хакеры различными методами устанавливали на устройство жертвы бэкдор, который использовал приложение для получения команд и отправки информации злоумышленникам.

Проблема в том, что компании, использующие Slack для коммуникаций, добавляют его в whitelist программ безопасности, что позволяет злоумышленникам беспрепятственно взаимодействовать со своими вредоносами в системе жертвы.

Discord

Discord же часто используется для распространения вредоносного программного обеспечения. Несмотря на то, что создатели платформы активно работают над обнаружением и удалением нежелательных программ с платформы, всех злоумышленников вычислить невозможно.

Почему так происходит?

Основная проблема безопасности, как ни странно, — это не устаревшие антивирусы или файрволы, а пользователи. Если убедить человека что-то скачать и запустить от имени администратора, то ни одна защитная программа не спасёт компьютер от атаки злоумышленников. Поэтому хакеры стараются сделать так, чтобы всё выглядело максимально естественно: вместе с вредоносными программами устанавливается Zoom, бэкдоры используют Slack как доверенное приложение для связи с командным сервером, а сервера Discord могут быть сделаны максимально близко к стилю компании (роли в соответствии с должностями, наполненность текстовых каналов и т.д.).

Читайте также: