Discord sohbetlerinde kötü amaçlı etkinlik

Son yapılan araştırmaların ışığında, Discord’daki kötü amaçlı aktivitenin altında yatan birkaç senaryodan bahsediyoruz.

Discord, altı yıl önce sohbet ve VoIP servisi sunmaya başladıktan bu yana, özellikle oyuncular arasında ortak ilgi alanı toplulukları kurmak için popüler bir araç haline geldi. Bununla birlikte, tıpkı kullanıcılar tarafından üretilen içerik barındıran tüm platformlar gibi Discord’un da kötü amaçlarla kullanılması mümkün. Discord’un kapsamlı özelleştirme seçenekleri de sohbet sunucusunda olsun olmasın tüm sıradan kullanıcılara saldırı gerçekleştirilebilmesinin önünü açıyor. Discord’un güvenliği ile ilgili son yapılan araştırma, sohbet servisiyle bağlantılı birden fazla siber saldırı senaryosu olabileceğini ortaya koydu. Bu senaryolardan bazıları kullanıcılar için büyük tehlike taşıyor. Peki, kendinizi nasıl koruyabilirsiniz?

Discord üzerinden yayılan kötü amaçlı yazılımlar

En belirgin tehdit, Discord üzerinden dağıtılan kötü amaçlı yazılımlar. Son çalışmalardan birinde onlarca kötü amaçlı yazılım türü tespit edildi. Bu tehdide “belirgin” dememizin sebebi, Discord’da dosya paylaşmanın çok kolay olması. Platforma yüklenen her dosyaya şu formatta kalıcı bir URL veriliyor:

<code>cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}</code>

Dosyaların çoğu, bağlantıya sahip olan herkes tarafından indirilebiliyor.

Çalışmada gerçek hayattan bir saldırı örneği de yer alıyor: Zoom Web konferans istemcisi indirmelerini sunan sahte bir internet sitesi. İnternet sitesi tıpkı gerçeğine benziyor; kötü amaçlı dosyalar ise bir Discord sunucusunda barındırılıyor. Böylelikle güvenilir olmayan kaynaklardan dosya indirme kısıtlamalarına takılmamış oluyorlar. Ne de olsa milyonlar tarafından kullanılan popüler bir uygulamanın kötü amaçı yazılımlara karşı çözümler tarafından engellenme olasılığı daha düşük.

Bu kötü amaçlı “lifehack” ne kadar barizse mücadele etmenin yolu da o kadar bariz: Yüksek kaliteli güvenlik çözümleri, bir dosyanın tehdit düzeyini belirlerken yalnızca indirme kaynağına bakmakla kalmaz. Kaspersky araçları, dosya herhangi bir kullanıcı tarafından ilk defa indirildiğinde kötü amaçlı işlevselliği tespit eder ve bulut tabanlı güvenlik sistemi sayesinde dosyanın engellenmesi gerektiğini diğer kullanıcılara da bildirir.

Kullanıcılar tarafından oluşturulan içeriklerin yüklenmesine izin veren tüm servisler kötüye kullanılabilir. Örneğin; ücretsiz ağ sayfası barındırma sitelerinde kimlik avı sayfaları oluşturuluyor, dosya paylaşım platformları Truva atı yaymak için kullanılıyor. Form doldurma servisleri ise birer spam kanalı görevi görüyor. Liste uzayıp gidiyor. Platform sahipleri bu tür kötüye kullanımlarla mücadele etmeye çalışsalar da her zaman olumlu sonuçlar elde edilemeyebiliyor.

Discord geliştiricilerinin de hiç olmazsa bazı temel kullanıcı koruma yöntemlerini hayata geçirmesi gerektiği apaçık ortada. Örneğin, belirli bir sohbet sunucusunda kullanılan dosyaların bütün dünyaya açık olmasına hiç gerek yok. Bilinen kötü amaçlı yazılımları kontrol edip otomatik olarak engellemek de akıllıca bir önlem. Ne olursa olsun, bu Discord’a özgü bir sorun değil ve bu sorunla savaşmanın, herhangi bir kötü amaçlı yazılım dağıtma yöntemiyle savaşmaktan çok da farkı yok. Öte yandan, kullanıcıların karşı karşıya olduğu tek tehdit bu değil.

Kötü amaçlı botlar

Diğer bir çalışma ise Discord’un bot sistemini kötüye kullanmanın ne kadar kolay olduğunu ortaya seriyor. Botlar, sohbet sunucularının işlevselliklerini çok farklı şekillerde genişletebilir. Discord da kullanıcıların sohbetlerini özelleştirmek için geniş bir yelpazede seçenekler sunuyor. Kısa bir süre önce GitHub’da yayınlanan (ve hemen ardından kaldırılan) kodu, sohbet özelliğiyle ilgili kötü amaçlı kodlara örnek gösterebiliriz: Discord API tarafından sağlanan becerileri kullanan bu kod, bir kullanıcının bilgisayarında rastgele kod yürütülebilmesine olanak sağlıyor. Aşağı yukarı şuna benziyor:

Kötü amaçlı bir sohbet botu, Discord sohbetinden komut aldıktan sonra kullanıcının bilgisayarında rastgele bir programa erişiyor. Kaynak

 

Saldırı senaryolarından birinde kötü amaçlı kod, yerel olarak kurulu Discord istemcisinin açılışta otomatik olarak başlatılmasıyla çalışıyor. Güvenilir olmayan bir kaynaktan bot yüklemek bu tür bir virüs bulaşmasına yol açabilir.

Araştırmacılar, kullanıcıda Discord istemcisi kurulu olmasını gerektirmeyen başka bir senaryoyu da inceledi. Bu örnekte kötü amaçlı yazılım iletişim kurmak için sohbet servisini kullanıyor. Herkese açık API, karmaşık olmayan kayıt süreci ve basit veri şifreleme sayesinde bir arka kapı, Discord’u kolaylıkla operatörüne virüslü sistem hakkında veri göndermek, kod yürütme komutu almak, yeni kötü amaçlı modüller yüklemek ve çok daha fazlası için kullanabiliyor.

Bu tür bir senaryo oldukça tehlikeli görünüyor. İşi fazlasıyla kolaylaşan saldırganların virüslü bilgisayarlarla iletişim kurmak için arayüz oluşturmasına gerek kalmıyor, bunun yerine mevcut sistemi kullanabiliyorlar. Bu durum aynı zamanda kötü amaçlı etkinliğin tespitini de daha karmaşık hale getiriyor, çünkü arka kapı ve operatörü arasındaki iletişim popüler sohbet servisindeki normal kullanıcı etkinliklerine benziyor.

Oyunculara yönelik koruma

Yukarıda bahsettiğimiz tehditler tüm Discord kullanıcıları için geçerli olsa da Discord’u sesli ve yazılı iletişime, çevrimiçi yayına ve oyun istatistiği toplamaya yönelik bir oyun eklentisi olarak kullananlarımızı daha yakından ilgilendiriyor. Bu tür bir kullanım önemli ölçüde özelleştirme gerektirdiği için kullanıcıların kötü amaçlı eklentilerle karşılaşma ve bunları yükleme riski artıyor.

Ortamın rahat ve güvenli görünmesi, sosyal mühendislik tekniklerinin başarı oranını arttırarak tehdidi daha da büyük hale getiriyor: Arkadaşımız sandığımız kişilerle sıcak bir sohbet içerinde sunulan yemleri daha kolay yutuyoruz. Discord’da da internette uyguladığınız genel dijital hijyen kurallarını uygulamanızı öneriyoruz: Şüpheli bağlantılara tıklamayın ve ne olduğu belirsiz dosyaları indirmeyin; gerçek olamayacak kadar iyi tekliflere şüpheyle yaklaşın ve kişisel ya da finansal bilgilerinizi paylaşmaktan kaçının.

Truva atlarına ve arka kapılara gelirsek, ister Discord tabanlı ister yalnızca Discord üzerinden dağıtılıyor olsun, bunlar da diğer kötü amaçlı yazılım türlerinden farklı değil. Güvende kalmak için güvenilir bir antivirüs uygulaması kullanın. Herhangi bir yazılım kurarken veya sohbet sunucusuna bot eklerken de uygulamanın sürekli çalıştığından emin olun ve uyarılarını dikkate alın.

Performansı dert etmeye gerek yok. Güvenlik ürünlerimiz korumadan ödün vermeden ek yükü minimize eden bir oyun moduna da sahip.

İpuçları