Lockdown-Zeit ist Gaming-Zeit, die Spielewirtschaft floriert angesichts der COVID-19 Pandemie und das bleibt auch Cyberkriminellen nicht verborgen. Das ThreatLabZ-Team von Zscaler entdeckte allein in den letzten zwei Monaten über 100 Kampagnen, bei denen es Cyberkriminelle ganz gezielt auf Gamer bzw. deren CPU und GPU abgesehen haben.
Das Ziel ist in der Regel, die Rechner und Graphikkarten mit Kryptominern zu infizieren und Kryptowährungen wie Monero und Co. zu schürfen.
Im Rahmen der Analyse deckte das ThreatLabZ-Team verschiedene Kampagnen auf, die für ihre Infektionskette auf den Dienst cdn.discordapp.com zurückgreifen. Die Researcher analysierten unterschiedliche Malware-Kategorien, die über die CDN-Infrastruktur der Discord-App bereitgestellt werden, darunter Ransomware, Stealer und Cryptominer.
Auf diesem Dienst werden nicht nur bösartige Dateien gehostet, sondern auch die Command-and-Control (C&C) Kommunikation abgewickelt. Um die Machenschaften zu vertuschen werden mit Schadcode verseuchte Dateien umbenannt und Namen von Spielen verwendet. Zusätzlich werden Dateisymbole an Spielesoftware angelehnt.
Die untersuchten Kampagnen starten ihren Angriff in der Regel mit Spam-E-Mails, in denen Benutzer mit legitim aussehenden Vorlagen dazu verleitet werden, die nächste Stufe der Payloads herunterzuladen. Dabei wurden die folgenden vier Malware-Familien entdeckt: Epsilon-Ransomware, Redline-Stealer, XMRig-Bohrer und Discord-Token-Grabber.
Die technische Analyse
Discord ist eine Chat-Anwendung, mit der Benutzer in Echtzeit miteinander chatten können. Die Spieler können mit Sprachanrufen, Chat-Nachrichten und Videoanrufen kommunizieren und sich gegenseitig Dateien senden. Dieser CDN-Dienst wurde eigentlich als Content Distribution Network zur Bereitstellung statischer Inhalte für Benutzer gestartet, hat aber zwischenzeitlich erhebliche Risiken offenbart.
Angreifer nutzen Discord oft, um bösartige Dateien zu verbreiten und Informationen zu stehlen. Dazu wird beispielsweise eine bösartige Datei in einen Discord-Kanal hochgeladen und der öffentliche Link mit anderen geteilt, so dass selbst Nicht-Discord-User eine Datei herunterladen können.
Eine via Discord gesendete Datei bleibt für immer erhalten. Selbst wenn der Angreifer die Datei innerhalb von Discord löscht, kann ihr Link immer noch zum Herunterladen der bösartigen Datei verwendet werden.
Discord ist in erster Linie eine Chat-Plattform, die für Gamer entwickelt wurde. Aufgrund ihrer Popularität wird sie zunehmend auch von anderen professionellen Communities zum Austausch von Informationen genutzt und dementsprechend auch von Malware-Akteuren genutzt. Durch die Funktionsweise des Dienstes bleiben allerdings bösartige Anhänge öffentlich zugänglich und stellen somit eine Gefahr für den Anwender dar