No es la primera vez que los atacantes eligen los servidores de Discord como parte de su infraestructura.
Recientemente han sido descubiertas muestras de una nueva botnet para dispositivos IoT que utiliza el CDN de Discord para su propagación, lo que podría dificultar gravemente su bloqueo.
El investigador de seguridad @0xrb compartió recientemente en Twitter un listado de URL que se servían de la infraestructura de la popular herramienta de comunicación para una nueva botnet dirigida a dispositivos IoT.
Lo curioso de esta botnet es que utiliza el CDN de Discord para evadir las listas negras de los dispositivos IDS. Además incorpora técnicas anti-sandbox y anti detección como el uso de timeouts, eliminación de registros y uso de cadenas hexadecimales como payloads intermedios.
A continuación se describe el proceso de infección:
La infección comienza descargando un script en bash desde la URL hxxps://cdn.discordapp.com/attachments/779820448182960152/780735645169352765/ugyuftyufydurdiytyabins.sh. Para subir este archivo, el atacante ha aprovechado la característica de compartición de archivos de la aplicación de Discord y copiado el enlace haciendo click con el botón derecho en el archivo compartido.
Conoce más aquí
