Στο μικροσκόπιο ερευνητών ασφάλειας της Trend Micro τέθηκαν οι δημοφιλείς πλατφόρμες chat και κοινωνικής δικτύωσης, Slack, Discord, Telegram, HipChat, Mattermost, Facebook και Τwitter, προκειμένου να διαπιστωθεί εάν μπορούν να χρησιμοποιηθούν από επιτιθέμενους για κακόβουλες ενέργειες, όπως φιλοξενία και διαχείριση malware, bitcoin mining, υποκλοπή δεδομένων κ.ο.κ. Aς δούμε τι έδειξαν τα αποτελέσματα της έρευνας.
Σύμφωνα με την Trend Micro, αρκετές δημοφιλείς υπηρεσίες και εφαρμογές ανταλλαγής άμεσων μηνυμάτων όπως Slack, Discord και Telegram, μπορούν να καταστρατηγηθούν από κακόβουλους παράγοντες και να μετατραπούν σε υποδομές διαχείρισης και ελέγχου κακόβουλου λογισμικού (C & C).
Όπως όλα δείχνουν, οι παράγοντες απειλής μπορούν να γίνουν πολύ δημιουργικοί όταν πρόκειται για επικοινωνίες Command-and-Control (C&C). Αρκετά hacking groups καταφεύγουν στο Twitter, ενώ όπως έγινε πρόσφατα γνωστό, μια ομάδα hacking που συνδέεται με τη Ρωσία, υπέκρυπτε διευθύνσεις διακομιστών C & C σε σχόλια που δημοσιεύονταν στο Instagram account της Britney Spears.
Οι ερευνητές της Trend Micro εξέτασαν αρκετές δημοφιλείς πλατφόρμες συνομιλίας και διαπίστωσαν ότι πολλές από αυτές μπορούν να στοχοποιηθούν από εγκληματίες του κυβερνοχώρου, ενώ αρκετές χρησιμοποιούνται ήδη για κακόβουλες δραστηριότητες. Οι εφαρμογές αυτές είναι ένας δελεαστικός στόχος για τους εγκληματίες του κυβερνοχώρου, καθώς συχνά χρησιμοποιούνται για νόμιμους σκοπούς, καθιστώντας ακόμη πιο δύσκολο τον εντοπισμό του κακόβουλου traffic.
Οι εμπειρογνώμονες ανέλυσαν το συνεργατικό εργαλείο Slack, την εφαρμογή chat Discord που απευθύνεται κυρίως σε gamers, το messenger Telegram το οποίο εστιάζει στην ιδιωτικότητα, την πλατφόρμα ανταλλαγής μηνυμάτων HipChat, το Mattermost, την οpen source εναλλακτική του Slack,το Twitter και το Facebook.
Οι προγραμματιστές αυτού του είδους εφαρμογών παρέχουν συνήθως διάφορα API components που επιτρέπουν την αλληλεπίδραση με custom εφαρμογές και apps τρίτων (π.χ. συγχρονισμό με το calendar των χρηστών ώστε να λαμβάνουν ειδοποιήσεις απευθείας στη διεπαφή της πλατφόρμας).
[su_heading]SLACK[/su_heading]
Στην περίπτωση του Slack, οι ερευνητές κατέληξαν στο συμπέρασμα ότι η πλατφόρμα μπορεί να μετατραπεί σε διακομιστή C & C, κάτι που ωστόσο δεν είναι πολύ πρακτικό για μεγάλο όγκο δεδομένων, καθώς υπάρχει όριο 5GB στο upload.
Οι ειδικοί δημιούργησαν ένα PoC επιδεικνύοντας πώς μπορεί να καταστρατηγηθεί το Slack για την αποστολή εντολών σε ένα bot, για την καταχώριση καταλόγων, τη μεταφόρτωση αρχείων, την εκτέλεση εντολών συστήματος, καθώς και τη λήψη στιγμιότυπων οθόνης και τη μεταφόρτωσή τους στο Slack.
Η Trend Micro εντόπισε ορισμένα ύποπτα αρχεία, τα οποία αλληλεπιδρούν με το Slack, καθώς και κάποιες κακόβουλες εφαρμογές Android που εκμεταλλεύονται το Slack για υποκλοπή και μετάδοση πληροφοριών σε εισβολείς.
[su_heading]DISCORD[/su_heading]
Όσον αφορά το Discord οι ερευνητές διαπίστωσαν ότι η πλατφόρμα αξιοποιείται για τη φιλοξενία κακόβουλου λογισμικού, συμπεριλαμβανομένων key generator, cracks, exploit kits και injectors. Η πλατφόρμα χρησιμοποιείται επίσης για κακόβουλες ενέργειες που σχετίζονται με Bitcoin mining, καθώς και με κακόβουλο λογισμικό που στοχεύει τους χρήστες της online πλατφόρμας Roblox.
[su_heading]TELEGRAM[/su_heading]
To Telegram, παρότι απαιτεί έγκυρο αριθμό τηλεφώνου για τη δημιουργία λογαριασμού, βρέθηκε επίσης ευπαθές. Ένα PoC που δημιουργήθηκε από την Trend Micro δείχνει ότι η πλατφόρμα μπορεί να καταστρατηγηθεί για την εκτέλεση εντολών σε έναν μολυσμένο σύστημα και την υποκλοπή δεδομένων. To Telegram είναι επίσης ευπαθές στο backdoor TeleBot και στο Telecrypt Ransomware.
[su_heading]HIPCHAT, MATTERMOST, FACEBOOK[/su_heading]
Το API του HipChat βρέθηκε να παρέχει επίσης λειτουργικότητα που απαιτείται από κακόβουλους διακομιστές C & C, ενώ το Mattermost φαίνεται να είναι το λιγότερο ελκυστικό για τους επιτιθέμενους. Το Facebook μπορεί επίσης να καταστρατηγηθεί, όπως απέδειξαν πρόσφατα εμπειρογνώμονες του Zone13, αλλά η Trend Micro επισημαίνει ότι η πλατφόρμα κοινωνικής δικτύωσης έχει καλούς μηχανισμούς για τον εντοπισμό ύποπτης δραστηριότητας στους λογαριασμούς των χρηστών της.
