Sicherheitsforscher: Kriminelle nutzen Discord, um Schadsoftware zu verbreiten

14.000 schadhafte Dateien entdeckte Sophos auf Discords Content Delivery Network (CDN). Deren CDN hat laut den Experten technische Vorteile für Kriminelle.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 58 Beiträge

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Alexander Königstein

Das Content Delivery Network (CDN) der Sprach- und Textchatplattform Discord wird laut Sicherheitsforschern zunehmend von Kriminellen zur Verbreitung von Schadsoftware missbraucht. Die Sicherheitsfirma Sophos schreibt, dass vier Prozent ihrer untersuchten Schadsoftware-Downloads im zweiten Quartal dieses Jahres von Discord kamen. Via Discord können Nutzer Dateien hochladen und austauschen. Das hat Sophos zufolge für Internet-Kriminelle einige Vorteile.

Insgesamt fand Sophos 14.000 schädliche Dateien auf dem Discord CDN und sieht eine steigende Tendenz. Damit Kriminelle dort ihre Schad-Software platzieren können, brauche es nur einen Chat-Raum, den jeder kostenfrei anlegen kann. Sobald eine Datei hochgeladen wird, landet sie auf cdn.discordapp.com. In diesem Google Cloud Storage sind Trojaner dann auf der ganzen Welt über ein schnelles CDN erreichbar.

Das Besondere: Für den Abruf der Datei ist kein Login notwendig. Wer die URL der hochgeladenen Datei abrufe, werde vom Browser direkt gefragt, ob die Datei heruntergeladen werden soll. Wird diese URL in einer E-Mail verlinkt, gibt es keine Warnmeldung oder etwas anderes, das vom Download ablenken könnte.

Selbst wenn die Nachricht auf Discord mit dem Dateianhang gelöscht wird, ist die Datei selbst noch im CDN erreichbar, wie heise online in einem kurzen Test herausfand. Und es kommt noch besser: Wenn man den sogenannten "Server" (eigentlich ein angelegter, administrativer Raum) bei Discord mit allen Nachrichten, Kanälen und Nutzern löscht, war die Datei für uns immer noch im CDN abrufbar.

Das Problem ist keinesfalls neu. Auf Discords CDN landete laut Sophos bereits letztes Jahr viel schädliche Software. Discord hat die grundsätzliche Funktionsweise nicht geändert, sondern setzt auf Meldungen von Nutzern und scannt selbst nach Schadcode. Doch Schadsoftware ist nicht so einfach von nicht-schädlicher Software zu unterscheiden, ohne ihr Verhalten vollständig zu analysieren.

Unter den von Sophos gefundenen Dateien befanden sich demnach einige Malware-Familien, die gespeicherte Logindaten abgreifen oder dafür sorgen, dass der betroffene Rechner vom Angreifer ferngesteuert werden kann. Deshalb empfehlen wir, beim Dateidownload besonders Acht zu geben.

(ako)