El año pasado se produjo un importante repunte en el uso de plataformas de VoIP, mensajería instantánea y comunicación digital. Estas herramientas permiten a los usuarios desde crear reuniones hasta configurar canales por temas y comunidades especializadas. En 2021, Discord, un servicio multiplataforma de mensajería instantánea freeware de chat de voz VolP, video y chat, albergaba más de 19 millones de servidores activos relacionados con diferentes géneros y temas (juegos, artes, marketing, finanzas, deportes, etc.). Según el centro de marketing de influencers, actualmente hay más de 150 millones de usuarios activos mensuales.
Check Point Research ha observado un posible peligro tras detectar interés de los ciberdelincuentes en Discord. La señal más destacada: un malware multifuncional disponible para quien lo desee en Github con capacidad de tomar capturas de pantalla, descargar y ejecutar archivos adicionales, y realizar el registro de teclas, todo ello utilizando las características principales de Discord. CPR decidió explorar el potencial abuso de Discord por parte de los ciberdelincuentes y, lo que es más importante, determinar cómo prevenir estos ataques.
Discord permite a los usuarios integrar código para mejorar las características que hacen más fácil la gestión de la comunidad, sus bots. A medida que la popularidad de esta plataforma ha aumentado, también lo ha hecho el uso de estos bots. Actualmente, la mayoría de ellos pueden instalarse a través de servicios centralizados, como «top.gg», que ofrece una amplia variedad de uso gratuito. Además, los servicios de desarrollo de bots de Discord ofrecen bots propios hechos a medida a distintos precios.
Los bots de Discord son eficaces, sencillos y ahorran mucho tiempo. Sin embargo, un gran poder también conlleva una gran responsabilidad y hay que tener en cuenta que se pueden llegar a utilizar fácilmente con fines maliciosos.
Check Point Research ha encontrado varios repositorios maliciosos en GitHub que son relevantes para la plataforma Discord. Estos repositorios incluyen un malware basado en la API de Discord y bots maliciosos con diferentes funcionalidades. A partir de un examen preliminar, se han descubierto algunas funcionalidades que se pueden obtener utilizando opciones básicas de Python. El hecho de que estos ciberataques estén escritos en lenguajes multiplataforma los hace compatibles con las principales (OSX, Linux, Windows). Un ejemplo de ello es el conjunto de herramientas maliciosas DiscordRootKit, el cual parece tener varias funcionalidades:
- Abrir un shell en el dispositivo en ejecución.
- Encuentra diferentes tokens de navegadores – Chrome, Opera, Yandex.
- Realizar capturas de pantalla.
- Tomar instantáneas de la cámara web del dispositivo.
- Registro de teclas.
- Registrar diferentes acciones de malware.
- Descargar un archivo desde un enlace determinado.
- Copiar el archivo en el escritorio de inicio de Windows para que se ejecute en el momento del arranque.
Finalmente, se ha descubierto que la API del bot de Discord, una simple implementación de Python que facilita las modificaciones y acorta el proceso de desarrollo, puede convertir fácilmente el bot en un troyano de acceso remoto (RAT – Herramienta utilizada por los desarrolladores de malware para obtener acceso total y control remoto en el sistema de un usuario).
El bot utiliza el módulo Python «Discord», que no requiere que la aplicación Discord esté instalada en el equipo de la víctima. El módulo proporciona el token de la API correspondiente para escuchar los mensajes entrantes en un servidor de Discord predefinido. Una vez que se proporciona un comando, el bot ejecuta las acciones predefinidas en el ordenador de la víctima. Es importante señalar que este experimento fue sólo con fines educativos, sin daños ni consecuencias para ningún usuario o plataforma.
Deja un comentario