思科旗下 Talos 网络安全团队在本周发布的“协作应用程序滥用观察报告”中披露:过去一年时间里,网络威胁参与者已经越来越多地使用 Discord 和 Slack 等应用程序,来诱骗用户打开恶意附件、并部署各种 RAT 类型的恶意软件。显然,通过渗透热门的工作流 / 协作工具,此举有助于攻击者更好地在反病毒软件和网络防火墙面前隐匿它们的真实意图。
Slack 公网链接
随着 COVID-19 大流行的长时间持续,许多人已经习惯了基于远程协作的办公流程。可以预见的是,2021 年的网络攻击威胁,也将带来某些新的趋势。
思科 Talos 网络安全团队在报告中称,他们近期已经观察到了包括 Agent Tesla、AsyncRAT、Formbook 在内的诸多威胁新动向。
研究人员在报告中指出,对于恶意软件发布者来说,显然希望相关文件、域名或系统,不被各种检测手段给曝光、拦截或移除。
Discord CDN
而即时通讯类软件的蓬勃发展,也顺道消除了他们在这方面面临的一些障碍,并极大增强了附件抵达最终用户手中的可能性。
具体说来是,攻击者正在积极利用 Slack 和 Discord、以及其它协作应用程序平台的内容分发网络(CDN)来存储和来回分享文件。
通过硬编码的统一资源定位符(URL 网址),互联网上的任何人都可以从任意地方访问到 Discord 的 CDN 资源。
勒索型恶意软件的文本提示
更糟糕的是,这项功能并非仅限于 Discord 或 Slack 等协作平台的老用户。在将文件上传至 Slack,并创建了允许外部访问的链接之后,接受者甚至也不需要事先安装 Slack 客户端。
Talos 网络安全团队补充道,其技巧在于躲过安全性检测,然后诱骗用户点击恶意连接。只需让员工误以为这是正常的业务交流,协作渠道内的恶意软件传播就变得相当轻松。
为了应对这种趋势,专家认为平台服务提供方应该从多方面下手。比如制定更多的环境锁定和控制策略,增加更多的遥测监视手段,同时邀请安全厂商利用相关技术来检测和阻止此类通信信道中的攻击。