網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?

我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件,例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純:竊取個人資訊並從中獲利,而遊戲本身也因此經常遭到濫用。

在本文說明的案例中,遭到網路犯罪者利用的並非遊戲,而是遊戲玩家所使用的通訊工具,Discord,這是玩家經常使用的新一代聊天平台,擁有超過 4,500 萬名註冊會員用戶。

ROBLOX

此攻擊案例涉及熱門的大型多人遊戲 ROBLOX,這個遊戲擁有 1 億 7,800 萬名註冊用戶,每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容,玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境,並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素,鼓勵使用者進行社交、一起玩遊戲及建立內容,並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。

Discord _**的詐欺漏洞_**

在網路犯罪者攻擊 ROBLOX 玩家的犯罪中,Discord 扮演何種角色?我們的研究發現,網路犯罪者濫用此聊天平台內建的一項功能,即應用程式設計介面 (API),API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中,竊取包含 ROBLOX 登入憑證的瀏覽器 cookie,具體而言,是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時,讓聊天程式傳送訊息至指定頻道或使用者,Discord 因此成為資訊外洩的管道。

濫用 webhook 的手法可細分為以下步驟:

  1. 惡意程式感染目標系統,在此案例中,趨勢科技偵測到惡意程式 TSPYRAPID.A。TSPYRAPID.A 最早出現在遊戲論壇上,使用者將它貼在論壇上,宣稱是「作弊程式」,可讓玩家修改角色,取得勝過其他玩家的不當優勢。此惡意程式的程式碼中包含 Discord webhook,如下所示 (SHA256: a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)。Figure 1_ 1 在程式尾端夾帶 Discord webhook _惡意程式碼的螢幕截圖
  2. 此惡意程式會持續等待,直到偵測到被害者系統中的 ROBLOX,就會竊取使用者的遊戲帳戶 cookie。
  3. 惡意程式利用 Discord,將竊取到的 cookie 傳送給同樣連線至 Discord 的指定頻道或使用者。
  4. 遭竊的 cookie 即用於登入已遭入侵的 ROBLOX 帳戶,竊取儲存於帳戶的 ROBUX,推測最後換為現金。

目前已偵測到此惡意程式的變種 TSPYRAPID.D,可在受到感染的系統中持續運作,只要系統執行 ROBLOX 就能獲得新的帳戶 cookie,即使變更密碼也於事無補,這一點與只執行一次的 TSPYRAPID.A 不同。TSPY_RAPID.D 也會以夾帶惡意程式碼的 ROBLOX 執行檔取代原始檔案,並以假訊息通知受害者 ROBLOX 程序已當機。

Figure 2

_ 2 偽造的 ROBLOX _當機通知訊息方塊

Figure 2

_ 3 遭竊的 ROBLOX 瀏覽器 cookie _螢幕截圖

網路犯罪者濫用 API,利用 Discord (或任何類似聊天平台) 進行的惡意行為不僅如此。其實我們的分析顯示,網路犯罪者只需稍加創造修改,就可將程式轉換為命令及控制 (C&C) 基礎架構,無需擴充自有系統的資源,就能控制惡意程式。

我們在針對此事件的深入研究報告中,詳細說明其他範例及類似 Discord 濫用的案例研究,標題為「網路犯罪者如何利用聊天程式*_ API _*做為命令及控制基礎架構」。使用者可仔細閱讀這篇報告,深入瞭解此安全問題,並瞭解如何在住家與工作場所處理此問題。

解決方案與因應對策

最大的難處在於,沒有簡單的解決方案可以對付這項 Discord 安全風險。Discord 的 API 功能是其聊天平台的運作關鍵,為了保護目的而「消毒」Discord,會嚴重影響程式功能,導致程式無法發揮作用。這會造成一種情況,就是只有在攻擊已經發生時,使用者才會發現安全問題,屆時惡意程式已侵入系統,利用 Discord 做為 C&C 伺服器。因此,使用者必須考慮,是否值得冒險繼續使用此聊天平台。

網路犯罪者鎖定遊戲論壇中特定遊戲玩家的這項事實,也是必須注意的重點。

為協助提升聊天平台的安全性,我們已經與 Discord 展開密切合作,以找出並去除 Discord 網路中難以解決的威脅。

當然,無論面對哪種安全問題,都應著重採取最佳做法。以下是我們針對 Discord 使用者 (以及針對此問題,對任何聊天平台的使用者) 提出的建議:

  • 在你的電腦系統安裝安全解決方案並持續更新,預防感染惡意程式,例如本文提及的惡意程式 (TSPYRAPID.A 及 TSPYRAPID.D)。
  • 絕對不要點擊可疑的連結,即使是你的好友傳來的連結也一樣。
  • 絕對不要下載可疑的檔案,即使是你的好友傳來的檔案也一樣。
  • 絕對不要在網路上揭露任何個人資訊,即使是你的好友向你詢問也一樣。
  • 在瀏覽論壇時提高警戒,特別是邀你試用作弊程式的文章。

⊙原文來源: How Chat App Discord Is Abused by Cybercriminals to Attack ROBLOX Players

【Cloudsec 2017 企業資安高峰論壇-請把握最後報名機會,席次保留倒數中。。 】

今年的主題包含最熱門的物聯網安全,讓您在享受其美好以及便利性之時,也了解不能忽視的漏洞。以下的議題也是身為資安領航者應該要了解的面向 :
• 金融科技犯罪案例大剖析
• 駭客為何總是有辦法一駭再駭?
• AI 打造人工智慧安全,您知道如何辦到嗎?
• 令人聞之色變的勒索病毒已經結合APT的手法全面入侵,企業要如何全身而退?

如此精彩詳實的內容,席次即將額滿,如果您已經報名,9/6請務必出席,如果您還未報名,請即刻行動,把握最後倒數席次

原文來自 資安趨勢