Malware auf PCs und Android-Geräten

Boomende Kommunikationsplattform lockt Cyberkriminelle an

27. Juli 2021, 12:30 Uhr   |  Jörg Schröper

Boomende Kommunikationsplattform lockt Cyberkriminelle an
© Wolfgang Traub

Erfolg macht bekanntlich sexy. Das sehen augenscheinlich auch Cyberkriminelle so. In einer Untersuchung haben die SophosLabs nach eigenen Angaben herausgefunden, dass Discord, ein momentan sehr erfolgreicher Dienst für Sprach-, Video- und Textkommunikation mit weltweit nach eigenen Angaben über 150 Millionen Nutzern, zunehmend als Malware-Verbreitungsplattform dient.

Die Sophos-Telemetriedaten belegen demnach, dass die Anzahl der URLs, die Malware im Content Management Network (CDN) von Discord hosten, in den vergangenen zwei Monaten im Vergleich zum Vorjahreszeitraum um 140 Prozent gestiegen ist. Die Studie „Malware increasingly targets Disord for abuse“ basiert auf einer detaillierten Analyse von mehr als 1.800 bösartigen Dateien, die auf dem Discord-CDN erkannt wurden und zeigt auf, wie Cyberkriminelle die beliebte Plattform nutzen, um persönliche Informationen zu stehlen und andere Malware verbreiten. Dies gelte einschließlich eigentlich ausrangierter Ransomware, die die Angreifer für Sabotage- und Denial-of-Service-Attacken nutzen.

„Discord bietet ein dauerhaftes, hochverfügbares und globales Verteilungsnetzwerk für Malware-Betreiber, sowie ein Messaging-System, das die Kriminellen ohne großen Aufwand in Befehls- und Kontrollkanäle für ihre illegalen Aktivitäten umwandeln können“, so Sean Gallagher, Senior Threat Researcher bei Sophos. „Die riesige Benutzerbasis von Discord bietet eine ideale Umgebung für den Diebstahl persönlicher und Anmeldeinformationen durch Social Engineering.“

„Diese Betrügereien sind nicht harmlos“, so Gallagher weiter. „Wir haben eine Malware gefunden, die private Bilder von der Kamera eines infizierten Geräts stehlen kann, sowie Ransomware aus dem Jahr 2006, die die Angreifer wiederbelebt haben, um sie als ‚Mischiefware‘ zu verwenden. Diese Malware-Gattung verweigert Opfern den Zugriff auf ihre Daten, aber es gibt keine Lösegeldforderung und keinen Entschlüsselungsschlüssel wie bei Ransomware.“

Dabei seien nicht nur Privatnutzer im Fokus. Der Sophos-Report legt nahe, dass den Cyberkriminellen durchaus bewusst ist, dass Unternehmen die Discord-Plattform zunehmend für interne oder Community-Chats nutzen. Diese Entwicklung bietet Angreifern eine neue und potenziell lukrative Zielgruppe, insbesondere wenn Sicherheitsteams nicht immer den mit Transport Layer Security verschlüsselten TLS-Verkehr von und zu Discord überprüfen und damit potenziell gefährliche Aktivitäten nicht frühzeitig erkennen können.
 
Die Malware ist offensichtlich oft als spielbezogenes Tools und Cheat getarnt – häufig für beliebte Online-Spiele wie Minecraft, Fortnite, Roblox oder Grand Theft Auto. Die Forscher fanden auch einen Köder, der Spielern die Möglichkeit bot, ein Spiel in der Entwicklung zu testen.

Informationsdiebstahl ist die häufigste Bedrohung und macht mehr als 35 Prozent der aufgedeckten Malware aus. Die Sophos-Forscher fanden mehrere Malwaretypen, die Passwörter hacken oder exfiltrieren, etwa die modifizierte Version eines Minecraft-Installers, der zusätzlich zur Bereitstellung des Spiels einen „Erweiterung“ namens „Saint“ installiert. Dabei handelt es sich allerdings um sogenannte Spyware, die Tastenanschläge und Screenshots sowie Bilder direkt von der Kamera erfassen kann.

Die SophosLabs fanden auch Android-Malware-Pakete, die Backdoors oder Dropper (eigenständig ausführbare Programm-Dateien, die beispielsweise eine Malware aktivieren) auf dem Smartphone installieren sowie Finanz-Malware, die den Zugriff auf Online-Bankkonten und Kryptowährungen stehlen soll.

„Discord-Benutzer, egal ob privat oder geschäftlich und wofür sie die Plattform verwenden, sollten ähnlich wie beim E-Mail-Postfach wachsam gegenüber der Bedrohung durch bösartige Inhalte bleiben, und es nicht einfach dem Anbieter überlassen, verdächtige Dateien zu identifizieren und zu entfernen“, so Gallagher. „Wir empfehlen außerdem, eine Sicherheitslösung wie beispielsweise Sophos Home auf Privatgeräten zu installieren, um sich vor Malware- und anderen Cyberbedrohungen zu schützen.“

Für Unternehmen, die Discord für Chat und Zusammenarbeit am Arbeitsplatz verwenden, empfehle sich die Verwendung von Multi-Faktor-Authentifizierung (MFA). Außerdem sollte sichergestellt sein, dass alle Mitarbeiter über einen aktuellen Malware-Schutz auf ihren Geräten verfügen – vor allem jene, die sie für den Zugriff auf Remote-Kollaborationsplattformen während der Arbeit verwenden. Darüber hinaus sollten IT-Sicherheitsteams den Datenverkehr von einem Online-Cloud-Dienst aufgrund der vertrauenswürdigen Natur oder Legitimität des Diensts selbst niemals als von Natur aus als „sicher“ betrachten. Cyberkriminelle könnten sich überall verstecken.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Sophos GmbH, Sophos Technology GmbH

Sophos

Security-Lösung