Los investigadores de ciberseguridad han presenciado una vez más el uso de Discord para alojar cargas útiles maliciosas durante una investigación sobre el uso cada vez mayor del contrabando de HTML.
Un informe anterior de los investigadores de Sophos mostró que la popular plataforma de mensajería centrada en los juegos ha surgido sin saberlo como un aliado de los ciberdelincuentes como medio para alojar y distribuir malware .
Ahora, los investigadores de Menlo Security que deconstruyen un nuevo ataque también han encontrado actores de amenazas que utilizan Discord para alojar cargas útiles maliciosas.
Ataca el navegador
Los investigadores explican que el contrabando de HTML ayuda a distribuir malware al pasar por alto de manera efectiva varias soluciones de seguridad de red, incluidos los entornos sandbox, los proxies heredados y los firewalls .
“Creemos que los atacantes están usando HTML Smuggling para entregar la carga útil al endpoint porque el navegador es uno de los enlaces más débiles sin soluciones de red que lo bloqueen”, señala Menlo Security en una publicación de blog que analiza la campaña ISOMorph.
El contrabando de HTML también se utilizó en la campaña de phishing más reciente del grupo Nobelium, el actor de amenazas que perpetró el ataque a la cadena de suministro de SolarWinds .
Popular entre los desarrolladores web como un medio para optimizar las descargas de archivos , los actores de amenazas utilizan el contrabando de HTML para eludir la seguridad perimetral estándar, explica Menlo Security.