Discord: plusieurs malwares ciblent les gamers

La montée des jeux en ligne, liée à la distanciation sociale imposée par la pandémie, a conduit à une augmentation du nombre de cybercriminels ciblant les gamers. Le dernier effort pour exploiter cette nouvelle tendance consiste à implanter des fichiers malveillants dans la plate-forme Discord. Ces fichiers sont conçus pour inciter les utilisateurs à télécharger des fichiers contenant des logiciels malveillants.

Les chercheurs rapportent plusieurs campagnes actives ciblant le service Discord «cdn[.]discordapp[.]com» conçu pour déclencher une chaîne d’infection et propager le ransomware Epsilon, des chevaux de Troie voleurs de données et le crypto-mineur XMRrig, selon un rapport de Zscaler ThreatLabZ. Les hackers utilisent également le service pour la communication C2 (commande et contrôle), ont observé les chercheurs.

Discord est une plate-forme de discussion en groupe qui a été conçue à l’origine pour les gamers et a évolué pour devenir un point de rassemblement virtuel pour échanger. L’application est utilisée par les gamers et ceux qui veulent créer des communautés sur le Web, appelées «serveurs», soit en tant que forums autonomes, soit dans le cadre d’un autre site Web. Discord prend en charge la voix, la vidéo ou le texte, permettant à tous d’interagir au sein des communautés créées.

Un environnement sans Covid-19 mais rempli de malwares

Discord – comme une myriade d’autres plateformes de chat et de communication en ligne – a connu une augmentation de son utilisation. Cela a mis une cible sur Discord et d’autres communautés virtualisées pour les pirates informatiques qui les considèrent comme des aubaines pour le piratage.

«En 2020, les recherches ont montré une forte augmentation des téléchargements de jeux, et cette activité n’est pas passée inaperçue par les cybercriminels», selon ThreatLabZ. «Les attaquants ont souvent exploité la popularité de certains jeux (Among Us était un exemple récent) pour inciter les joueurs à télécharger de fausses versions qui servaient des logiciels malveillants.»

Bien que l’implantation de logiciels malveillants dans Discord ne soit pas une activité nouvelle, les chercheurs ont découvert un certain nombre de nouvelles campagnes utilisant divers logiciels malveillants connus pour attirer les joueurs depuis la plate-forme.

Abondance de logiciels malveillants

Les logiciels malveillants découverts récemment dans Discord incluent non seulement le ransomware Epsilon, mais également le mineur XMRig et trois types de dérobeurs de données: Redline Stealer, TroubleGrabber et une large catégorie de pilleurs de jetons Discord non identifiés, selon ThreatLabZ.

discord

Les nouvelles attaques sur Discord observées par les chercheurs commencent généralement par des e-mails de spam dans lesquels les utilisateurs sont amenés à télécharger des charges utiles à la prochaine étape avec des modèles d’apparence légitime. Le vecteur d’attaque utilise les services Discord pour former une URL afin d’héberger une charge utile malveillante sous la forme https://cdn[.]discordapp[.]com/attachments/ChannelID/AttachmentID/filename[.]exe .

Les campagnes renomment les fichiers malveillants en logiciels piratés ou en logiciels de jeu et utilisent les icônes de fichiers des jeux pour tromper les victimes, selon le rapport.

Les chercheurs ont étudié les vecteurs d’attaque des différents types de logiciels malveillants détectés dans les dernières campagnes Discord, qui ont chacune leurs propres méthodes.

Les trouvailles les plus importantes concernant cette campagne d’infection sur Discord

  • Plusieurs campagnes reposant sur le service cdn[.]discordapp[.]com pour leur chaîne d’infection.
  • Les cybercriminels utilisent le CDN de Discord pour héberger des fichiers malveillants ainsi que pour la communication de commande et de contrôle.
  • Les fichiers malveillants sont renommés en tant que logiciel piraté ou logiciel de jeu pour tromper les joueurs
  • Les icônes de fichiers sont également liées aux logiciels de jeu pour tromper les joueurs.
  • Plusieurs catégories de logiciels malveillants sont diffusées via l’infrastructure CDN de l’application Discord – ransomwares, dérobeurs de données et crypto-mineurs.

Différents types de programmes malveillants selon les cas

Dans le cas du ransomware Epsilon, l’exécution commence par la suppression d’un fichier .inf et d’un fichier .exe dans le dossier Windows/Temp de la machine de l’utilisateur. Le logiciel malveillant établit la persistance en créant une clé de registre sur la machine de la victime, puis en énumérant via les lecteurs du système pour crypter les fichiers à l’aide d’un double cryptage – incluant une clé de 32 bits générée de manière aléatoire et une clé de cryptage RC4 personnalisée avec une longueur variable de 2048 bits.

Une fois le cryptage établi, l’attaque télécharge l’image de la note de rançon à partir du lien cdn.discordapp.com pour l’afficher sur la machine de la victime, ont noté les chercheurs. Cependant, contrairement aux dérobeurs de données et crypto-mineur observés dans les nouvelles campagnes, Epsilon n’utilise pas Discord pour initier la communication C2.

discord

Le dérobeur de données Redline, un nouveau malware russe disponible sur les forums clandestins depuis l’année dernière, lance son attaque en déposant une copie de lui-même dans le dossier AppData/Roaming de la machine d’une victime. Le dérobeur utilise plusieurs noms d’applications de jeu populaires pour effectuer ses activités, notamment la collecte d’identifiants et de mots de passe, de cookies, de champs de saisie semi-automatique et de cartes de crédit, ainsi que le vol de données de clients FTP et de messagerie instantanée, ont déclaré les chercheurs.

Le mineur XMRig lance son attaque en déposant une copie de lui-même dans% ProgramData%\RealtekHDUpdater\realtekdrv[.]exe. puis modifie les autorisations de fichier du système sans le consentement de l’utilisateur et se connecte au serveur C2 avec diverses commandes.

Ce que les pirates informatiques veulent

Après avoir essayé de supprimer une série de programmes sur la machine de la victime comme le Process Hacker, le Gestionnaire des tâches, Windows, le Gestionnaire des tâches de Windows, AnVir Task Manager, taskmgr[.]exe et NVIDIA GeForce, le mineur se lance en utilisant l’adresse Monero «4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQswVtyKcWBsLoeY6A2.»

Les autres pilleurs observés par les chercheurs utilisent des jetons Discord pour voler des informations sur les utilisateurs, un type d’activité malveillante que les chercheurs de Sonatype ont également observé ciblant Discord le mois dernier à l’aide du malware CursedGrabber.

Les jetons Discord sont utilisés dans le code du bot pour envoyer des commandes dans les deux sens à l’API Discord, qui à son tour contrôle les actions du bot. Si un jeton Discord est volé, cela permettrait à un attaquant de pirater le serveur.

Les chercheurs ont remarqué que TroubleGrabber effectuait des vols de jetons dans les dernières campagnes et que divers autres pilleurs non identifiés se livrait à des activités similaires, ont-ils déclaré.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires