Cisco 的 Talos 安全研究團隊最近表示，越來越多的惡意人士透過 Discord 與 Slack 平台來誘騙用戶打開惡意附件並部署各種RAT和竊取程序，譬如Agent Tesla，AsyncRAT 和 Formbook。

Slack，Discord 都是使用內容分發網絡（CDN）來存儲及在平台商共享文件。 用戶可以將文件上傳到Slack，並創建外部鏈接以允許訪問文件，這樣接收者是否有安裝 Discord 或 Slack，文件都可被打開。這樣規避了安全性檢測的方式會讓使用者很輕易地便接觸到惡意連結。

除此以外，攻擊者還可以透過加密的 HTTPS 將惡意負載傳遞到 CDN，並且壓縮文件從而進一步掩蓋內容。在過去的一年中，研究人員觀察到當中使用了許多常見的壓縮算法，包括.ACE，.GZ，.TAR 和 .ZIP，以及幾種不太常見的壓縮類型，例如.LZH。

在大多數情況下，[消息]本身與我們近年來習慣於從垃圾郵件中看到的內容是一致的。許多[消息]聲稱與各種金融交易有關，並且包含指向聲稱是發票，採購單和其他潛在受害者感興趣的文件的文件的連結。

研究人員還觀察到與Pay2Decrypt LEAKGAP勒索軟件相關的活動，惡意人士使用 Discord API進行 C2，數據洩露和Bot 註冊，甚至使用 Discord Webhooks 在攻擊者和系統之間進行通信。在成功感染之後，受害者將無法系統上存儲的數據，並被要求支付贖金。

參考資料：
https://threatpost.com/attackers-discord-slack-malware/165295/