Un informe de Sophos ha expuesto la escala y variedad de malware que utiliza la CDN (Red de distribución de contenidos) de Discord: «Los productos de Sophos detectaron y bloquearon, solo en los últimos dos meses, casi 140 veces la cantidad de detecciones durante el mismo período en 2020″, dijeron los autores Sean Gallagher y Andrew Brandt, con 17.000 URL únicas encontradas que apuntan a malware en el segundo trimestre de 2021.
Y esas 17.000 URL solo cuentan el malware alojado por el servicio, que mantiene los archivos en Google Cloud y usa Cloudflare como interfaz. La gran cifra excluye el malware alojado en otro lugar que hace uso de la infraestructura proporcionada por la CDN; Las API de chatbot de Discord se han utilizado para el comando y control de malware en objetivos infectados, así como para filtrar datos robados en servidores privados.
El malware que utiliza la plataforma varía, pero según los autores, la mayoría se centra en el robo de datos, ya sea mediante el robo directo de credenciales o los troyanos de acceso remoto (RAT). También se observaron amenazas dirigidas a las plataformas Android, que iban desde clics publicitarios hasta troyanos bancarios.
Discord es una plataforma de mensajería popular
Discord es una plataforma de mensajería popular que originalmente estaba dirigida a las comunidades de jugadores, y continúan teniendo una presencia sustancial en la plataforma, por lo que no es sorprendente que muchos de los archivos maliciosos alojados y distribuidos en ella estén vinculados a los juegos.
Por ejemplo, los investigadores identificaron un instalador de Minecraft modificado que también capturaba las pulsaciones de teclas, capturas de pantalla e imágenes de la cámara, así como una «multiherramienta para Fortnite» que infectaba sistemas con una puerta trasera Meterpreter.
Otros apuntaron a la propia Discord, robando credenciales y tokens de autenticación, o se disfrazaron de software que iba desde navegadores privados hasta aplicaciones de Adobe.
El modelo freemium en el que se basa Discord funciona en su contra. Si bien muchas características pagas son deseadas por los usuarios, las cuentas gratuitas aún pueden cargar archivos (aunque con un límite de tamaño) y comunicarse con sus API.
Esto permite que las amenazas aparezcan una y otra vez con nuevas cuentas; Aunque Discord eliminó gran parte de lo que identificaron los investigadores, descubrieron que continuamente se cargaban o se comunicaba con Discord nuevo malware.