Discord está introduciendo cambios en su alojamiento de archivos para mejorar la seguridad y restringir el uso indebido de su plataforma. Esta medida tiene como objetivo frenar el uso de la red de entrega de contenido (CDN) de Discord para el alojamiento permanente de archivos y reducir la distribución de malware.
Los actores de amenazas abusan de Discord de tres maneras: aprovechando su red de entrega de contenido (CDN) para distribuir malware, modificando el cliente de Discord para robar contraseñas y abusando de los webhooks para robar datos del sistema de la víctima.
Discord está adoptando un nuevo enfoque en el alojamiento de archivos para combatir el malware. Pronto, la plataforma implementará enlaces de archivos temporales que caducan después de 24 horas para el contenido del usuario compartido fuera de Discord.
Engadget informó que se espera que este cambio esté implementado a finales de año. Si bien el objetivo principal es reducir el malware, también restringirá el uso no oficial de Discord como servicio de alojamiento de archivos.
Los usuarios frecuentemente suben contenido a sus servidores y comparten los enlaces en otros lugares, lo que será menos fluido con el cambio a enlaces temporales, ya que quedarán inactivos después de un día.
Tras la próxima modificación del alojamiento de archivos de Discord, todos los enlaces a archivos almacenados en la plataforma caducarán automáticamente después de 24 horas. Se prevé que estos cambios, denominados aplicación de autenticación por Discord, se implementarán a finales de este año.
Estas URL de CDN modificadas contarán con tres parámetros adicionales, incorporando marcas de tiempo de vencimiento y firmas únicas, asegurando que los enlaces sigan siendo válidos solo hasta que alcancen su tiempo de vencimiento. Esta iniciativa está diseñada para limitar el uso persistente de la CDN de Discord para el alojamiento permanente de archivos.
Aunque estos parámetros se incluyen actualmente en los enlaces de Discord, su aplicación solo entrará en vigor una vez que la empresa implemente los cambios en la aplicación de autenticación.
Este ajuste de política tiene como objetivo fomentar una experiencia de usuario más segura, particularmente en el contexto de frenar la distribución de malware y el alojamiento de archivos no autorizado.
Para mejorar la seguridad de la CDN de Discord, las URL de CDN adjuntas tienen 3 nuevos parámetros de URL: ex, is y hm. Una vez que comience la aplicación de la autenticación a finales de este año, los enlaces con una firma determinada (hm) seguirán siendo válidos hasta la marca de tiempo de vencimiento (ex) ". La decisión de Discord de implementar estos cambios es un paso importante para abordar los problemas persistentes que encuentra al combatir las actividades cibercriminales en su plataforma.
Desde hace algún tiempo, los servidores de Discord han sido explotados por actores maliciosos, incluidos grupos de delincuentes con motivación financiera y respaldados por el estado, lo que ha generado diversos problemas de seguridad.
En particular, las funciones de alojamiento permanente de archivos de Discord se han aprovechado para la distribución de malware y la extracción de datos de sistemas comprometidos mediante la utilización de webhooks. Estas vulnerabilidades han convertido a la plataforma en un objetivo de actividades nefastas, lo que requiere este ajuste centrado en la seguridad.
A pesar de la creciente magnitud de este problema recientemente, The Verge informó que Discord ha enfrentado desafíos a la hora de implementar contramedidas efectivas para disuadir el uso indebido de su plataforma por parte de los ciberdelincuentes y abordar decisivamente este problema o, al menos, minimizar sus repercusiones.
Bleeping Computer informó que las URL CDN de Discord se han convertido en el objetivo de explotación de más de 10.000 instancias de operaciones de malware, que las emplean para distribuir cargas útiles maliciosas durante la segunda etapa de los ataques a sistemas comprometidos.
Estas cargas útiles comprenden principalmente cargadores de malware y scripts responsables de instalar diversas formas de malware, incluidos RedLine Stealer, Vidar, AgentTesla, zgRAT y Raccoon Stealer.
Los datos de Trellix revelan además que numerosas familias de malware, como Agent Tesla, UmbralStealer, Stealerium y zgRAT, han utilizado webhooks de Discord en los últimos años para filtrar información confidencial. Estos datos robados a menudo incluyen credenciales, cookies del navegador y billeteras de criptomonedas de dispositivos comprometidos.
Fuente: TechTimes