Discordを利用していなくても感染するマルウェアとは

この記事をシェア

eスポーツが普及したこともあり、多くのオンラインゲームユーザーに利用されているコミュニケーションツールであるDiscord。そのDiscordを悪用するマルウェアの事例と安全性を高める対策を解説する。

Discordを利用していなくても感染するマルウェアとは

Discordのファイル共有機能によるURLを悪用するダウンローダーを2022年10月マルウェアレポートで紹介した。本記事では、レポートで紹介しきれなかったDiscordを悪用した事例を紹介する。

Discord(ディスコード)とは

Discordは、Discord社が提供するオンラインチャットツールだ。テキストでのやり取りに加え、通話でのやり取りが可能である。多くのオンラインゲームユーザーに利用されており、さまざまなコミュニティ運営での利用も行われている。

Discordは、自社で運営しているCDN(コンテンツデリバリーネットワーク)によって、ファイル共有機能を提供している。ほかにも、Discord APIやWebhook機能なども提供しており拡張性に優れている。

2022年10月のマルウェアレポートで紹介したが、攻撃者はファイル共有機能で作成したURLによってマルウェアの配布を行っている。ESET社によると、さまざまな種類のランサムウェアを始め、AgentTesla、Lokibot、Nanocore、Remcosなど、多数の既知のRAT(Remote Access Trojan)が確認されている。

Discord(ディスコード)の悪用事例

Discordの悪用については、2016年頃にESET社が注意喚起を行っており、セキュリティ企業のSophos社が、2020年第二四半期にDiscordのCDNでマルウェアにリンクされた17,000の固有のURLを確認している。
今回は、2つの悪用事例を紹介する。

コロンビア国内における「njRAT」の配布キャンペーン

2022年の年初から数ヶ月間、コロンビア国内において「njRAT」の配布キャンペーンがあったとESET社が公表した。ESET社の研究者は、このキャンペーンを「Operation Discord」と呼んでいる。

njRATは、感染した端末を遠隔で操作するRATの1つだ。感染したコンピューターをリモートで制御し、ファイルの送受信やキーストロークのログ記録、スクリーンショットの撮影、カメラ画像の撮影、オーディオの録音などの操作を可能にする。

このキャンペーンでは、コロンビアの機関を装ったフィッシングメールに添付ファイルが使用されていた。添付ファイルには、Visual Basicで書かれたスクリプトが含まれており、DiscordのCDNを悪用したURLからPowerShellスクリプトをダウンロードする。PowerShellスクリプトが実行されると、最終的にnjRATがダウンロードされる。

Discordを悪用する情報窃取マルウェア「Blitzed Grabber」

Blitzed Grabberは、情報窃取型のマルウェアの1つだ。DiscordのWebhook機能を悪用して、窃取したデータを保存する*1。Webhookは、Webアプリケーション上のイベントをきっかけに、別のアプリケーションへHTTP通信でデータを送信できる機能で、Discordでは別サービスからの通知を受け取るBotに利用されている。この機能を悪用することで、自動化されたメッセージとデータの更新を被害者のマシンから特定のメッセージチャンネルに送信することを可能にしている。

*1 How cybercriminals are using messaging apps to launch malware schemes - Intel471

Blitzed Grabberは、自動入力データ、ブックマーク、ブラウザー Cookie仮想プライベート ネットワーク(VPN)クライアントからの資格情報、支払いカード情報、暗号通貨ウォレット、オペレーティング システムの情報、パスワード、Microsoft Windows プロダクト キーなど、あらゆる種類の情報を盗むことができる。窃取された情報は、攻撃者自身が悪用するだけでなく、ダークウェブ上で販売される恐れがあることに注意が必要だ。

Discord(ディスコード)を悪用した脅威への対策

このようなCDNを悪用したURLによるマルウェアのダウンロードを防ぐためには、以下のような対策が重要である。

  • ファイアウォールやセキュリティ製品のパーソナルファイアウォールで、CDNを悪用したURLの通信をブロックする
  • 不審な添付ファイルやURLを不用意に開かない
  • スクリプトファイルの既定のアプリケーションをテキストエディターに変更する

Discordは、オンラインゲームなどのやり取りで利用されるケースが多いため、仕事で使用する端末では関係ないように思われるかもしれないが、攻撃者がDiscordのCDNを悪用する手法で、利用ユーザーであるかどうかは関係なく行っているため注意が必要である。

また、Discord以外にもCDNが悪用されたサービスが確認されている。世界中に整ったインフラと拡張性があるサービスは悪用しやすく、さらに正規のサービスを利用しているため、セキュリティ製品による検知・ブロックを回避しやすいことが背景にあると考えられる。
そのため、Discordを始めとしたCDNを悪用するマルウェアの情報を収集し、組織内で共有していくことが重要だ。

この記事をシェア

メールのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!