Zoom, Slack и Discord: как (не) отдать хакерам всё в пару кликов

2020-12-02 6214 комментарии
В условиях пандемии удалённая работа стала спасением для многих компаний. Однако планёрки и стандартные рабочие встречи никто не отменял, потому что вопросы по ходу дела возникают и их надо решать оперативно

На выручку сотрудникам пришли различные сервисы, которые позволяют быстро и удобно общаться большим группам людей. Наиболее популярными стали Zoom, Slack и Discord. Каждый день миллионы человек собирают в этих сервисах групповые чаты и конференции для обсуждения рабочих (не только) моментов. Однако это сделало сервисы желанной целью для злоумышленников.

Вопросы безопасности этих платформ рассмотрел аналитический отдел компании Falcongaze.

Как хакеры могут взломать устройство человека через эти платформы?

Zoom

На данный момент Zoom является самым популярным сервисом для общения в условиях пандемии. На платформе собираются видеоконференции для различных целей: от совещания по распределению бюджета между отделами компаний до дружеских вечеринок. Популярность привела к тому, что появились Zoom-бомберы — люди, которые заходят в комнату видеоконференции и мешают нормальному взаимодействию между участниками. Например, злоумышленник может включить громкие звуки или контент неприемлемого содержания.

На первый взгляд может показаться, что проблема не такая уж и серьёзная: кто-то просто «гуляет» по чужим конференциям и неуместно шутит. Можно просто удалить человека из чата — и проблема решена. Однако злоумышленники могут и не устраивать свои пранки. Можно просто незаметно подслушать совещание или обсуждение ноу-хау компании, записать это и потом продать информацию. Такой инцидент может привести к серьёзным последствиям.

Вторым очень популярным методом атаки с помощью Zoom является распространение зловредных программ, вшитых в установщик приложения. Например, троян ZAPIZ или бэкдор RevCode WebMonitor RAT просто вшивают в легитимный установщик Zoom и распространяют среди пользователей. Как итог на рабочем столе жертва видит установленное приложение Zoom, но наряду с самой программой устанавливается и вредонос, который может иметь самый различный функционал: от простого сбора информации до изменения и удаления файлов и исполнения компьютером жертвы команд злоумышленников.

Slack

Есть случаи, когда злоумышленники использовали Slack для коммуникации вредоносных программ с командным центром. Хакеры различными методами устанавливали на устройство жертвы бэкдор, который использовал приложение для получения команд и отправки информации злоумышленникам.

Проблема в том, что компании, использующие Slack для коммуникаций, добавляют его в whitelist программ безопасности, что позволяет злоумышленникам беспрепятственно взаимодействовать со своими вредоносами в системе жертвы.

Discord

Discord же часто используется для распространения вредоносного программного обеспечения. Несмотря на то, что создатели платформы активно работают над обнаружением и удалением нежелательных программ с платформы, всех злоумышленников вычислить невозможно.

Также опасность Discord в том, что с помощью прямой ссылки доступ к сообщению может получить кто угодно. Таким образом, если злоумышленник отправит сотруднику компании сообщение типа «Мы создали сервер в Discord для нашего отдела, вот ссылка, там файл установки» и прикрепит ссылку на сообщение с вредоносным файлом, как-то повлиять на действия сотрудника будет практически невозможно.

Почему так происходит?

Основная проблема безопасности, как ни странно, — это не устаревшие антивирусы или файрволы, а пользователи. Если убедить человека что-то скачать и запустить от имени администратора, то ни одна защитная программа не спасёт компьютер от атаки злоумышленников. Поэтому хакеры стараются сделать так, чтобы всё выглядело максимально естественно: вместе с вредоносными программами устанавливается Zoom, бэкдоры используют Slack как доверенное приложение для связи с командным сервером, а сервера Discord могут быть сделаны максимально близко к стилю компании (роли в соответствии с должностями, наполненность текстовых каналов и т.д.).

Как не допустить подобного?

Правила просты как дважды два:

  • Не запускайте установщики, которые вам прислали. Если вас просят установить тот же Zoom, просто зайдите на официальный сайт и скачайте установщик оттуда;
  • Переходить по ссылкам, которые присылают с неизвестных аккаунтов, тоже идея не из лучших, а скачивать что-то по этим ссылкам ещё хуже. Если кто-то представляется сотрудником, клиентом или партнёром и просит что-то скачать и запустить, то лучше всего сначала узнать у коллег или начальства, должны ли к вам обращаться с такими запросами. Если нет возможности это проверить, можно сперва запустить файл в песочнице — изолированной машине, которая досконально анализирует поведение системы и запущенных файлов. Это поможет понять, зашит ли в файл какой-нибудь вирус без угрозы для системы.
© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте