Discord与Slack等协作平台日益成为黑客传播恶意程序的渠道

思科的Talos安全团队于本周警告,COVID-19疫情让许多人在家工作,使得Discord与Slack等协作平台大行其道,不过,黑客也相中了该趋势,日益利用这些平台来传播恶意程序。

在该远程工作的时代,除了这些协作平台越来越受企业欢迎之外,相关平台对附加文件的支持,再加上黑客可借由发送消息或是聊天服务来发布恶意网址,都让协作平台成为黑客的最新乐园。此外,这些平台通常具备内容传送网络(Content Delivery Network,CDN)架构,以让用户上传与存放文件,黑客可将恶意文件寄放在CDN上,再以电子邮件发送放置相关文件的CDN连接,因为所使用的是合法协作平台的架构,还可借此绕过邮件服务器的过滤机制。

黑客不仅利用协作平台来传送恶意程序,还在这些已成为公事用途的平台上窃取机密信息,甚至滥用平台API作为与黑客C&C服务器的通信接口。

研究人员指出,过去黑客即曾通过Discord来传播勒索软件,最近则有越来越多的远程访问木马、信息窃取工具与其它恶意程序出现,而在Discord的某个CDN上,就曾出现过近2万个恶意程序样本。

值得注意的是,黑客潜伏在协作平台上不仅为了传播恶意程序、窃取信息,也企图挟持其他合法用户的账号,允许黑客直接假冒他人名义在平台上活动。

Talos建议各大组织应该好好评估这些协作平台可能被如何滥用,同时警告锁定协作平台的攻击将会越来越多,假设组织内部并不依赖这些平台作为公事用途,应该考虑封锁来自相关域名的CDN连接以降低安全威胁。