ESET、Discordを利用していなくても感染するマルウェアについて解説 安全性を高める対策とは?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Discordを利用していなくても感染するマルウェアとは」を再編集したものです。

 Discordのファイル共有機能によるURLを悪用するダウンローダーを2022年10月マルウェアレポートで紹介した。本記事では、レポートで紹介しきれなかったDiscordを悪用した事例を紹介する。

Discord(ディスコード)とは

 Discordは、Discord社が提供するオンラインチャットツールだ。テキストでのやり取りに加え、通話でのやり取りが可能である。多くのオンラインゲームユーザーに利用されており、さまざまなコミュニティ運営での利用も行われている。

 Discordは、自社で運営しているCDN(コンテンツデリバリーネットワーク)によって、ファイル共有機能を提供している。ほかにも、Discord APIやWebhook機能なども提供しており拡張性に優れている。

 2022年10月のマルウェアレポートで紹介したが、攻撃者はファイル共有機能で作成したURLによってマルウェアの配布を行っている。ESET社によると、さまざまな種類のランサムウェアを始め、AgentTesla、Lokibot、Nanocore、Remcosなど、多数の既知のRAT(Remote Access Trojan)が確認されている。

Discord(ディスコード)の悪用事例

 Discordの悪用については、2016年頃にESET社が注意喚起を行っており、セキュリティ企業のSophos社が、2020年第二四半期にDiscordのCDNでマルウェアにリンクされた17,000の固有のURLを確認している。

 今回は、2つの悪用事例を紹介する。

コロンビア国内における「njRAT」の配布キャンペーン
 2022年の年初から数ヶ月間、コロンビア国内において「njRAT」の配布キャンペーンがあったとESET社が公表した。ESET社の研究者は、このキャンペーンを「Operation Discord」と呼んでいる。

 njRATは、感染した端末を遠隔で操作するRATの1つだ。感染したコンピューターをリモートで制御し、ファイルの送受信やキーストロークのログ記録、スクリーンショットの撮影、カメラ画像の撮影、オーディオの録音などの操作を可能にする。

 このキャンペーンでは、コロンビアの機関を装ったフィッシングメールに添付ファイルが使用されていた。添付ファイルには、Visual Basicで書かれたスクリプトが含まれており、DiscordのCDNを悪用したURLからPowerShellスクリプトをダウンロードする。PowerShellスクリプトが実行されると、最終的にnjRATがダウンロードされる。

内部記事リンク:甚大な被害をもたらすビジネスメール詐欺を阻止するために
https://eset-info.canon-its.jp/malware_info/special/detail/220831.html

Discordを悪用する情報窃取マルウェア「Blitzed Grabber」
 Blitzed Grabberは、情報窃取型のマルウェアの1つだ。DiscordのWebhook機能を悪用して、窃取したデータを保存する*1。Webhookは、Webアプリケーション上のイベントをきっかけに、別のアプリケーションへHTTP通信でデータを送信できる機能で、Discordでは別サービスからの通知を受け取るBotに利用されている。この機能を悪用することで、自動化されたメッセージとデータの更新を被害者のマシンから特定のメッセージチャンネルに送信することを可能にしている。

*1 How cybercriminals are using messaging apps to launch malware schemes - Intel471

 Blitzed Grabberは、自動入力データ、ブックマーク、ブラウザー Cookie仮想プライベート ネットワーク(VPN)クライアントからの資格情報、支払いカード情報、暗号通貨 ウォレット、オペレーティング システムの情報、パスワード、Microsoft Windows プロダクト キーなど、あらゆる種類の情報を盗むことができる。窃取された情報は、攻撃者自身が悪用するだけでなく、ダークウェブ上で販売される恐れがあることに注意が必要だ。

Discord(ディスコード)を悪用した脅威への対策

 このようなCDNを悪用したURLによるマルウェアのダウンロードを防ぐためには、以下のような対策が重要である。
ファイアウォールやセキュリティ製品のパーソナルファイアウォールで、CDNを悪用したURLの通信をブロックする
・不審な添付ファイルやURLを不用意に開かない
・スクリプトファイルの既定のアプリケーションをテキストエディターに変更する

 Discordは、オンラインゲームなどのやり取りで利用されるケースが多いため、仕事で使用する端末では関係ないように思われるかもしれないが、攻撃者がDiscordのCDNを悪用する手法で、利用ユーザーであるかどうかは関係なく行っているため注意が必要である。

 また、Discord以外にもCDNが悪用されたサービスが確認されている。世界中に整ったインフラと拡張性があるサービスは悪用しやすく、さらに正規のサービスを利用しているため、セキュリティ製品による検知・ブロックを回避しやすいことが背景にあると考えられる。

 そのため、Discordを始めとしたCDNを悪用するマルウェアの情報を収集し、組織内で共有していくことが重要だ。

■関連サイト

キヤノンMJ トップへ