Zugänge zu reichweitenstarken Discord-Konten sind momentan bei Kriminellen heiß begehrt: Das Malware-Analyse-Team von G DATA hat innerhalb weniger Monate knapp 70 neue Schädlingsfamilien entdeckt, die es auf die Discord-Konten von Gamern und Influencer*innen abgesehen haben – und ständig kommen neue dazu.
In den letzten Monaten sind viele neue Schadprogramme aufgetaucht, deren Funktion es ist, die sogenannten Zugangstoken von Discord-Nutzer*innen zu stehlen. Diese Tokens funktionieren wie der Schlüssel zu einem Schloss: Wer das richtige Token vorweisen kann, bekommt Zugang zum Konto. Und diese Tokens ändern sich im Normalfall nicht, doch dazu später mehr. Eine Stichprobe ergab knapp 70 verschiedene Familien von Discord-Stealern, die allein in den letzten vier Monaten aufgetaucht sind. „Das ist eine besorgniserregend hohe Anzahl“, sagt Karsten Hahn, Malware Analyst bei G DATA CyberDefense. „Immer mehr etablierte Malware-Suiten wie etwa Redline rüsten momentan solche Discord Stealer nach.“ In erster Linie sind die Discord-Clients für Microsoft Windows Ziel dieser Angriffe. Einer der bekanntesten Discord-Stealer ist „Anarchygrabber“ – der Quellcode ist frei verfügbar. Versionen dieses Schadprogramms für MacOS oder Android seien zwar ohne weiteres möglich und machbar, so Hahn, sind aber bisher nicht in nennenswerter Form in Erscheinung getreten. „Für Menschen mit kriminellen Absichten ist es erschreckend einfach, an tatsächlich nutzbaren Quellcode für Schadsoftware zu kommen“, so Hahn weiter. Und in der Tat ist quelloffene Schadsoftware nichts Neues: So machte die Ransomware „Hidden Tear“ vor einiger Zeit von sich reden. Ursprüglich als Lehrwerkzeug für Sicherheitsforscher*innen gedacht, haben einige Täter(gruppen) den Schadcode schnell adaptiert.
Discord als lohnendes Ziel
Wo Geld im Spiel ist, sind Kriminelle nicht weit. Gerade bei Content-Schaffenden ist oft auch eine Menge Geld im Spiel. Bekanntere Streamer*innen und andere Online-Celebrities und Influencer nutzen oftmals Discord als Kommunikationsplattform. Dort halten sie mit ihren Communities Kontakt, werben für ihre Inhalte, verkaufen Produkte, koordinieren Veranstaltungen und bieten den Teilnehmenden eine Chatplattform, auf der sich die Community auch untereinander austauscht. Discord ermöglicht zudem hierfür neben dem textbasierten Chat auch Videokonferenz-Features an sowie auch die Möglichkeit zum Dateitransfer untereinander. Tausende Teilnehmer*innen auf einem Discord-Server sind keine Seltenheit. Gerade in der Pandemiezeit und während der Lockdowns wurde Discord praktisch zu einem der beliebtesten virtuellen Treffpunkte – wie eine Mischung aus Onlineforum, Mailbox und Lieblingskneipe. Auch Menschen, die Onlinespiele spielen, sind oftmals nebenbei per Discord miteinander verbunden, vergleichbar mit dem reinen Voice-Chat „Teamspeak“.
Natürlich wird hier auch über Privates gesprochen. Menschen vertrauen dort einander sehr persönliche Informationen an, tauschen private Informationen wie auch Bilder aus. Wer also ein fremdes Discord-Konto übernimmt, hat Zugriff auf alles, was der oder die Nutzer*in darüber kommuniziert hat. Was für „normale“ Nutzende schon ein mehr als peinlicher Zwischenfall ist, kann für die Inhaber*innen von sehr reichweitenstarken Kanälen zur existenzbedrohenden Katastrophe werden. Denn wer eine große Gefolgschaft hat, genießt oftmals einen Vertrauensbonus. Schafft es also jemand, in böser Absicht etwa das Konto eines bekannteren Twitch-Streamers oder einer YouTuberin zu übernehmen, hat das unmittelbare Auswirkungen.
Vertrauensverlust
Nicht nur sind im schlimmsten Fall sämtliche Kontroll- und Verwaltungsfunktionen für den Discord-Server und die Chatkanäle nun in fremder Hand, sondern auch andere Daten wie Mailadressen, Chatlogs sowie alle Dateien, die zwischen dem Account-Inhaber und anderen Nutzer*innen verschickt wurden. Gerade im Zusammenhang mit der zunehmenden Monetarisierung von Inhalten durch die Content-Schaffenden wird es hier interessant, denn Discord unterstützt auch eine Spenden-Funktion, mit der Mitglieder Geldbeträge spenden können. Gelingt es einem Angreifer etwa, diese Funktion zu manipulieren, können sie sich selbst als Zahlungsempfänger einsetzen.
Digitale Geiselnahme
Eine weitere Möglichkeit: So wie bei einigen Instagram-Kanälen können Kriminelle auch Nachrichten an Nutzer*innen schicken, in denen sie sie um Geld bitten. Sei es unter dem Vorwand eines exklusiven Angebots, oder unter Vortäuschung einer finanziellen Notlage. Hier kommt wieder der vorhin erwähnte Vertrauensbonus ins Spiel. Auch weitere Schadprogramme wie etwa Ransomware lässt sich auf diesem Weg schnell verbreiten. Eine Chatnachricht mit einem vermeintlich attraktiven Link ist schnell an tausende Nutzer*innen geschickt.
Schutz- und Sofortmaßnahmen
Derzeit kommen laufend neue Discord-Stealer hinzu, die auch von G DATA Sicherheitslösungen gefunden werden. Einen Auszug aus der Liste aktueller Malware-Samples steht am Ende dieses Artikels. Um sich vor Diebstahl und Missbrauch des eigenen Kontos wirkungsvoll zu schützen, sind vier Schritte erforderlich:
- Eine aktuelle Schutzlösung installieren und aktuell halten
- Bei einer Infektion: Discord-Client neu installieren und Passwort ändern
- Zwei-Faktor-Authentifizierung aktivieren, sofern noch nicht geschehen.
- Skeptisch gegenüber spontanen Direktnachrichten sein, in denen der vermeintliche Absender um Geld bittet
IoC
Nachfolgend finden Sie einen Auszug aus der Liste der Discord-Stealer, die G DATA zum Zeitpunkt der Veröffentlichung dieses Artikels erkennt. Diese Liste ist nicht erschöpfend, was der großen Länge der vollständigen Liste geschuldet ist.
13b332d99afe7d29f55582395d45310a577de2f9475b26995a7ed83a3e799471
1530ec50dedb53e842ebfda646c8a6ed0c7eb37d404f1a524849e6759aece3d1
2641841b324cb4b58d2e890fdfea8a57919786a4bde38648c9abbc0bf00bdf70
2979faad3ad346fddef872ccd5e5ab5f6318738d1802b0d5399cddba23073222
31d5204b35e7581a9cb9a1408972505dd713677293a9c9ee8ea8cffd7e7d6c53
37bd9ab5f677675f06d750a5183259e055cc99201b04aa6a18c6402e0cb44b9d
3868efe050ed4f3c78bc2921d52a94bbab59add69f112e6a0771e0a941e78871
458b69828b08f8a70ce39d89f139c0b4c4cc0b7e89723ab3be858614f5cb512a
4d92ce29beeea395c4d01d226a1c8b601a84def1621a15a60d001539cd5499bd
5125b23efe18cd7a9e1469d9137bc38b478b1ce3cdf9cca1ee5f8b4423f59f67
52fa868c65c37b35d6629f93d0013d2b14cc24ca2b90fd13db875c4dd1d29042
5f78f6067d0f66be71a737e74bd1885029ed7a7a27f05c6cdda9ab9670597bf4
66088f23d477f88347a4b7c41b795bd8a3fd3d4cce7416bdcb304b6ea242875f
67175970448b47e113ef2fe0a45e7c9619d8e576887def624950beda0faabd0a
70a209cb6287f9f93032e7969a172240231759a2120a1c1bcd9c5e5713fa08a7
79ea3ab375408285e7942ce57eb70eb11cc2c5fdb9cabcd28d14092949313a55
7f09463235cb1b5bfdb4108210de2816ea2fc209d8a35a669fc0b4f52f4cee25
Tim Berghoff
Security Evangelist