Discord: Les abus du CDN et de l’API entraînent une vague de logiciels malveillants

0

Discord a un problème de malware. Et bien que la plate-forme soit principalement utilisée par les gamers, il s’avère que même les utilisateurs qui n’ont jamais interagi avec Discord sont en danger.

Discord crée des serveurs ou des groupes ou communautés d’utilisateurs spécifiques qui peuvent s’envoyer rapidement des messages vocaux, textuels et autres messages multimédias.

Les chercheurs disent qu’il y a eu une augmentation massive du nombre de détections de logiciels malveillants Discord par rapport à l’année dernière. Dans un rapport publié par Sophos, il affirme que les incidents ont augmenté de 140 fois par rapport à 2020. Le principal coupable de cette augmentation est son réseau de diffusion de contenu (CDN) et son interface de programmation d’applications (API), deux outils dont les cybercriminels abusent.

Le CDN de Discord est utilisé à mauvais escient pour héberger des logiciels malveillants, tandis que son API est exploitée pour exfiltrer les données volées et faciliter les canaux de commande et de contrôle des pirates, a ajouté Sophos.

Parce que Discord est fortement trafiqué par les jeunes gamers jouant à Fortnite, Minecraft et Roblox, une grande partie des logiciels malveillants qui circulent ne représentent guère plus que des farces, telles que l’utilisation de code pour faire planter le jeu d’un adversaire, a expliqué Sophos. Mais l’augmentation de voleurs d’informations et des chevaux de Troie d’accès à distance est plus alarmant, a-t-il ajouté.

Voleurs d’identifiants Discord, Remote Access Tool

« Mais le plus grand pourcentage des logiciels malveillants que nous avons trouvés se concentre sur le vol d’informations d’identification et d’informations personnelles, une grande variété de logiciels malveillants de vol ainsi que des RAT plus polyvalents », indique le rapport. « Les pirates informatiques derrière ces opérations ont utilisé l’ingénierie sociale pour diffuser des logiciels malveillants voleurs d’informations d’identification, puis utilisent les informations d’identification Discord collectées par les victimes pour cibler d’autres utilisateurs de Discord. »

discord

L’équipe a également trouvé des logiciels malveillants obsolètes, notamment des logiciels espions et de faux applications qui volent les informations, hébergés sur le CDN de Discord.

La comparaison du nombre d’URL hébergeant des logiciels malveillants sur le CDN de Discord donne une idée du problème imminent. Sophos a signalé avoir détecté 9 500 URL malveillantes sur le CDN de Discord en Avril. Au cours des mois suivants, ce nombre a grimpé à 17 000 URL.

« Et cela exclut les logiciels malveillants non hébergés dans Discord qui exploitent les interfaces d’application de Discord de diverses manières », indique le rapport. « Juste avant la publication, plus de 4 700 de ces URL, pointant vers un fichier Windows .exe malveillant, restaient actives. »

Sophos souligne que les « serveurs » de Discord sont en fait des machines virtuelles Google Cloud Elixir Erlang avec Cloudfare et qu’ils peuvent être ouverts à n’importe quel utilisateur ou rendus « privés » et utiliser des clés pour inviter d’autres personnes. Le CDN de Discord n’est que Google Cloud Storage, ce qui rend les fichiers partagés accessibles sur Internet, ajoute le rapport.

Discord est une cible juteuse

Cette architecture élastique est exactement le genre de chose que recherchent les cybercriminels.

« Une fois les fichiers téléchargés sur Discord, ils peuvent persister indéfiniment à moins d’être signalés ou supprimés », indique le rapport.

Les canaux de discussion de Discord fournissent également un excellent système de livraison pour les messages de phishing et la livraison de liens malveillants. De nombreux leurres utilisés sur Discord promettent des « cheats » de jeu mais fournissent à la place des voleurs d’informations d’identification d’une certaine variété, a expliqué Sophos.

Discord lui-même a été ciblé par des voleurs d’informations d’identification, selon le rapport.

En Janvier, Sonatype a trouvé trois packages logiciels malveillants dans un référentiel de code JavaScript populaire qui comprenait des jetons Discord et des voleurs d’informations d’identification pour accéder aux informations personnelles des utilisateurs.

Ce n’est pas la première fois que Discord a un problème de sécurité porté à son attention. En avril, Talos de Cisco a publié un rapport alertant les utilisateurs que Discord et Slack étaient tous deux de plus en plus exploités pour fournir des RAT et des voleurs d’informations. Et en Février, Zscaler THreatLabZ a mis en garde contre les spams liés à la pandémie qui circulaient autour de Discord pour essayer d’inciter les utilisateurs à télécharger le malware de crypto-minage XMRig.

En mai, PandaStealer volait des informations sur des logiciels malveillants faisant le tour d’une campagne de spam sur Discord.

Discord a réagi à leurs découvertes et travaille activement à l’amélioration de la sécurité sur la plate-forme, ont déclaré les chercheurs de Sophos. Mais alors que de plus en plus d’organisations se tournent vers Discord pour ses services, Sophos avertit qu’elles doivent être conscientes des menaces qui se cachent sur la plate-forme.

« Avec de plus en plus d’organisations utilisant Discord comme plate-forme de collaboration à faible coût, le potentiel de préjudice causé par la perte des informations d’identification Discord ouvre des vecteurs de menace supplémentaires pour les organisations », a déclaré Sophos. « Même si vous n’avez pas d’utilisateur de Discord chez vous ou au bureau, l’abus de Discord par des opérateurs de logiciels malveillants constitue une menace. »

Laisser un commentaire