Discord ha annunciato che entro la fine dell’anno adotterà link temporanei per i file condivisi attraverso la propria rete per prevenire l’uso della sua CDN (Content Delivery Network) per la distribuzione di malware. “Stiamo evolvendo il nostro approccio agli URL di CDN per gli allegati per creare un’esperienza più sicura per gli utenti,” ha dichiarato Discord a BleepingComputer. “Questo aiuterà il nostro team di sicurezza a limitare l’accesso ai contenuti segnalati e a ridurre la quantità di malware distribuito tramite il nostro CDN.”
Cambiamenti per sviluppatori e utenti
Gli utenti Discord che condividono contenuti all’interno del client non subiranno impatti; i link verranno aggiornati automaticamente. Discord suggerisce agli utenti che utilizzano il servizio per ospitare file di cercare piattaforme più adatte. Gli sviluppatori Discord potrebbero vedere un impatto minimo e l’azienda sta lavorando a stretto contatto con la comunità per facilitare la transizione.
La lotta di Discord contro il cybercrime
I server Discord sono stati a lungo terreno fertile per attività criminali, utilizzati da gruppi di hacker finanziariamente motivati e supportati da stati. Le capacità di hosting permanente di file di Discord sono state frequentemente sfruttate per distribuire malware e sottrarre dati da sistemi compromessi tramite webhook. Nonostante la crescente scala del problema, Discord ha lottato per implementare misure efficaci per detergere l’abuso della sua piattaforma da parte dei cybercriminali.
Il report di Trellix e l’abuso dei CDN URL di Discord
Secondo un report della compagnia di cybersecurity Trellix, gli URL CDN di Discord sono stati sfruttati in almeno 10.000 operazioni di malware per distribuire payload maligni su sistemi infetti. Questi payload consistono principalmente in loader di malware e script che installano malware come RedLine stealer, Vidar, AgentTesla, zgRAT e Raccoon stealer. Varie famiglie di malware, inclusi Agent Tesla, UmbralStealer, Stealerium e zgRAT, hanno utilizzato i webhook di Discord negli ultimi anni per rubare informazioni sensibili come credenziali, cookie del browser e portafogli di criptovalute da dispositivi compromessi.