Sergey Nivens - stock.adobe.com

Delincuentes abusan de Slack y Discord para esconder malware

Cisco Talos publicó un nuevo informe sobre cómo los actores de amenazas están abusando cada vez más de aplicaciones de colaboración populares como Slack y Discord durante la pandemia.

Los actores de amenazas han aprovechado la pandemia de COVID-19 una vez más, esta vez abusando de las aplicaciones de colaboración.

Un nuevo informe de Cisco Talos se centra en un aumento significativo de los ataques que han utilizado plataformas de colaboración como Discord y Slack desde el inicio de la pandemia. Si bien estos ataques no son nuevos, el informe destacó un cambio importante hacia el trabajo remoto, que «coincidió con una mayor dependencia» de estas plataformas para realizar negocios.

A medida que la pandemia continuó, Cisco dijo que observó que varios actores de amenazas cambiaron sus tácticas, técnicas y procedimientos para adaptarse al nuevo flujo de trabajo de la empresa. Los actores de las amenazas están subiendo código malicioso, incluyendo troyanos de acceso remoto (RAT), ladrones de información y malware de internet de las cosas (IoT), a estas plataformas para su entrega, recuperación de componentes y capacidades de mando y control.

El informe señala que las plataformas de colaboración pueden permitir a los adversarios realizar campañas utilizando «infraestructuras legítimas que pueden no estar bloqueadas en muchos entornos de red». Además, Cisco Talos dijo que estas campañas no requieren que las víctimas usen o tengan instaladas estas aplicaciones de colaboración: los actores de la amenaza pueden simplemente enviar por correo electrónico los enlaces a los archivos maliciosos alojados en Slack y Discord.

Nick Biasini, un investigador de amenazas de Cisco Talos que trabajó en el informe, dijo a SearchSecurity que una abrumadora mayoría de la actividad que observaron ocurrió en los últimos seis a ocho meses.

«Es posible que haya habido ejemplos ocasionales de muy bajo nivel de este tipo de abuso antes de la pandemia, pero no vimos campañas significativas como las que estamos viendo hoy. Puede que haya algún actor ocasional que pruebe cosas nuevas, pero no como esta adopción generalizada que estamos viendo ahora».

Ahora, dijo, es rampante.

Aumento de los abusos

Según el informe, algunas de las aplicaciones, incluida Discord, admiten archivos adjuntos, lo que las convierte en un objetivo para los adversarios. Si se utilizan en un entorno corporativo, resultan aún más atractivas. Mientras que la entrega de malware generalmente presenta desafíos para los actores de la amenaza, tales como asegurar que los archivos, dominios o sistemas no sean retirados o bloqueados, el uso de plataformas de comunicación «que probablemente están permitidas, aumenta la probabilidad de que el archivo adjunto llegue al usuario final».

Cuando los usuarios se comunican en estas plataformas, ya sea a nivel profesional o personal, los archivos se transmiten adjuntándolos en canales. Esos archivos se almacenan en una red de distribución de contenidos (CDN) que el proveedor de la plataforma opera y se puede acceder a ellos tal y como aparecían cuando se adjuntaron originalmente. Según el informe, se puede acceder a ellos independientemente de que se haya instalado la aplicación.

«Esta funcionalidad no es específica de Discord. Otras plataformas de colaboración como Slack tienen características similares. Los archivos se pueden subir a Slack, y los usuarios pueden crear enlaces externos que permiten acceder a ellos, independientemente de si el destinatario tiene Slack instalado», dice el informe.

Cisco Talos descubrió un fuerte aumento de los correos electrónicos maliciosos que bloqueó y que contenían enlaces a archivos alojados en estas redes de distribución de contenidos (CDN); en marzo de 2020, estos archivos representaban el 3,7 % de todas las amenazas por correo electrónico, pero en junio ese porcentaje se había más que triplicado.

No solo hubo un aumento en la entrega de malware, sino que el informe también encontró que las plataformas Discord y Slack fueron abusadas para la exfiltración de datos sensibles. «En muchos casos, esta actividad se lleva a cabo a través de la interfaz de programación de aplicaciones (API) de Discord, que proporciona un mecanismo robusto que los adversarios pueden aprovechar», dice el informe.

Además, Cisco Talos dijo que los actores de la amenaza pueden robar tokens de autenticación para Discord para secuestrar las cuentas de los usuarios y permanecer en el anonimato. Según el informe, en el momento de la redacción Discord no implementa la verificación del cliente para evitar la suplantación de identidad mediante un token de acceso robado.

Biasini dijo que Discord y Slack son atractivos para los actores de amenazas porque ofrecen capacidades que pueden ser difíciles de cerrar. Y los actores de amenazas siempre están buscando la próxima oportunidad para aprovecharse, tal y como hicieron al atacar escuelas y hospitales durante la pandemia.

«Siempre están buscando la manera de continuar con lo que están haciendo sin ser descubiertos o cerrados», dijo. «Pueden hacer cosas como robar los tokens de otras personas para poder suplantar a los usuarios, hacerse con las cuentas. Les ayuda a tener una capa de abstracción de que ellos son realmente los que crearon las cuentas», dijo.

SearchSecurity se puso en contacto con Slack y Discord en relación con la investigación de Cisco Talos. Un portavoz de Discord dijo que la empresa se basa en una mezcla de escaneo proactivo e informes reactivos para detectar malware y virus, aunque no siempre es suficiente. Si se dan cuenta de que los actores de la amenaza comprometen la CDN, remueven el contenido y toman las medidas adecuadas sobre los participantes.

«Estamos trabajando para mejorar nuestros procesos para que sea más fácil informar de este tipo de problemas, mejorar la forma en que estos problemas se enrutan internamente para una clasificación más rápida, y dedicar más recursos para identificar proactivamente este tipo de abuso», dijo un portavoz de Discord. «Entendemos que el escaneo antivirus es a menudo imperfecto, y estamos continuamente iterando sobre este método para mejorar nuestra tecnología ya que los malos actores están haciendo lo mismo».

Un portavoz de Slack dijo que la compañía tiene medidas para bloquear los archivos maliciosos que se comparten a través del servicio, con protecciones adicionales previstas para el lanzamiento en los próximos meses.

«Mantener a nuestros clientes y sus datos seguros es nuestra principal prioridad en Slack. En febrero de este año, bloqueamos la posibilidad de que los atacantes utilizaran Slack para compartir públicamente archivos .exe que contenían código ejecutable malicioso», dijo el portavoz. «Además, como compartimos a principios de este mes, Slack bloquea automáticamente ciertos archivos compartidos con organizaciones externas en Slack Connect, tanto en canales como en DM. Para prevenir aún más las estafas de phishing y el spam, estamos construyendo una protección contra el malware y el escaneo de enlaces estándar de la industria, donde se evita automáticamente la actividad maliciosa. Estas herramientas se desplegarán esta primavera».

Desde el punto de vista de los defensores, sigue existiendo un reto adicional. Según Biasini, uno de los factores que un equipo de seguridad tendría en cuenta sería bloquear el dominio o la dirección IP que aloja el archivo malicioso. «Pero realmente no se puede hacer eso con Discord porque se bloquearía Discord efectivamente».

No todas las organizaciones permiten el uso de estas plataformas, lo que puede afectar a los factores de mitigación, dijo Biasini. «Si tienes una organización que no permite Discord, entonces pueden tomar medidas para hacer un bloqueo más activo de lo que harías de otra manera. Ahí es donde entra en juego: ¿cómo se defiende la organización o la empresa contra ello?».

Según el informe, si la aplicación de chat no se utiliza internamente para fines empresariales, puede valer la pena considerar el bloqueo de algunos de los dominios que pueden ser abusados para la entrega de contenido o poner otras mitigaciones en su lugar. Y aunque puede haber sido provocado por la pandemia, parece que este aumento de la actividad ha llegado para quedarse.

«Es probable que sea la nueva normalidad en el futuro. Este tipo de abuso va a ser más frecuente», afirma Biasini.

Investigue más sobre Políticas y concientización