美國知名聊天平台 Discord 近期頻頻躍上新聞版面,最知名的事件就是美軍空軍國民兵在 Discord 洩漏大量的軍方機密文件而被捕。而現在資安公司 CyberArk 旗下研究單位 CyberArk Labs 在 Discord 上發現了一種新惡意軟體 Vare,Vare 廣布在 Discord上,並被利用來進行社交工程。
CyberArk Labs 進一步發現,Vare 與位於土耳其南部一個名為 Kurdistan 4455 的新興組織有所關聯,目前 Kurdistan 4455 仍處於早期成立階段。
對於台灣人來說,可能還不清楚 Discord 是什麼。此一平台是國外相當流行的線上聊天服務,近似於 Slack 但不那麼地正式,其擁有超過 3 億活躍用戶;Discord 最早成立的目的在於要成為遊戲社群的聊天平台,但由於 Discord 容易使用且功能吸引人,因此很快就擴及到各種社群當中使用。
不過使用者眾也讓 Discord 成為惡意人士進駐的平台。CyberArk Labs 指出,Discord 上的惡意軟體起源可以追溯到 Discord Nitro 功能的導入,只要訂閱這項服務,那麼就可讓用戶傳送檔案更大的文件、更長的消息,且還能擁有更高品質的影片串流等。
Discord Nitro 很快地就廣受許多用戶歡迎,但同時也激發了人性黑暗的那一面,部分用戶總是會想盡各種方式來免費獲得需付費功能,例如暴力破解密鑰,或利用社交工程來竊取他人的密鑰等。但有些用戶可能會更加激進,開始利用惡意軟體來竊取他人的信用卡資訊,並在受害者不知情的情況下購買 Discord Nitro 密鑰並轉售他人牟利。
大約在 2022 年 9 月時,CyberArk Labs 就偵測到了一個名為「vare_stealer_builder.exe」的樣本,且也進一步地發現了一個新興網路犯罪集團 Kurdistan 4455。
Vare 是一種使用 Python 所編寫,並使用 pyInstaller 轉換成可執行文件的惡意軟體,基本上 Vare 就是一個訊息竊取器,並利用 Discord 平台作為數據滲透基礎設施(data exfiltration infrastructure),以及竊取資訊的目標。CyberArk Labs 指出,這種惡意軟體可能會開啟網路以下令和控制攻擊行為,因而帶來巨大的風險。
(首圖來源:CyberArk Labs)
科技新報粉絲團
加入好友
訂閱免費電子報
