De plus en plus de logiciels malveillants utilisent le CDN de Discord à des fins abusives
Français
Une patate chaude : Lorsqu’on parle d'”abus” par rapport au service de messagerie instantanée populaire Discord, il s’agit généralement de la plate-forme de discussion de groupe utilisée par les trolls ou pour du contenu haineux et NSFW. Mais le réseau de diffusion de contenu (CDN) de Discord est désormais de plus en plus utilisé pour héberger des fichiers malveillants et diffuser des logiciels malveillants via des liens qui semblent légitimes.
Un rapport de Sophos a exposé l’ampleur et la variété des logiciels malveillants à l’aide du CDN de Discord : “Les produits Sophos ont détecté et bloqué, au cours des deux derniers mois, près de 140 fois le nombre de détections sur la même période en 2020”, ont déclaré les auteurs Sean Gallagher et Andrew Brandt, avec 17 000 URL uniques trouvées pointant vers des logiciels malveillants au deuxième trimestre 2021.
Et ces 17 000 URL ne comptent que les logiciels malveillants hébergés par le service, qui conserve les fichiers sur Google Cloud et utilise Cloudflare comme interface. Le chiffre élevé exclut les logiciels malveillants hébergés ailleurs qui utilisent l’infrastructure fournie par le CDN ; Les API de chatbot de Discord ont été utilisées pour commander et contrôler des logiciels malveillants dans des cibles infectées, ainsi que pour exfiltrer des données volées vers des serveurs privés.
Les logiciels malveillants utilisant la plate-forme varient, mais selon les auteurs, la majorité d’entre eux sont centrés sur le vol de données, soit par le vol direct d’informations d’identification, soit par des chevaux de Troie d’accès à distance (RAT). Des menaces ciblant les plates-formes Android ont également été observées, allant des clics publicitaires aux chevaux de Troie bancaires, ainsi que des ransomwares expirés qui n’avaient aucun moyen de payer les attaquants.
Discord est une plate-forme de messagerie populaire qui était à l’origine destinée aux communautés de jeux, et elles continuent d’avoir une présence substantielle sur la plate-forme, il n’est donc pas surprenant qu’une grande partie des fichiers malveillants hébergés et distribués sur celle-ci soient liés aux jeux.
Par exemple, les chercheurs ont identifié un programme d’installation Minecraft modifié qui a également capturé des frappes au clavier, des captures d’écran et des images de caméra, ainsi qu’un « multioutil pour FortNite » (sic) qui a infecté les systèmes avec une porte dérobée Meterpreter.
D’autres ont ciblé Discord lui-même, volant des informations d’identification et des jetons d’authentification, ou se sont déguisés en logiciels allant des navigateurs privés aux applications Adobe crackées.
L’ingénierie sociale était également souvent un facteur, avec la promesse de générer des clés pour le service premium Nitro de Discord couramment utilisé pour appâter les utilisateurs. Un exemple a immédiatement tenté de trouver et de tuer des processus pour des dizaines d’outils de sécurité, ainsi que des fonctionnalités de protection Windows intégrées – bien que si cela peut vous consoler, comme le ransomware susmentionné, beaucoup de ces chevaux de Troie étaient assez vieux pour essayer de téléphoner à la maison aux serveurs qui n’étaient pas là pour répondre.
En fin de compte, le modèle freemium sur lequel Discord s’appuie pour son accessibilité fonctionne contre lui ici. Alors que de nombreuses fonctionnalités de qualité de vie souhaitables pour les utilisateurs bénins sont protégées par un mur payant derrière Nitro, les comptes gratuits sont toujours entièrement capables de télécharger des fichiers (bien qu’avec une limite de taille) et de communiquer avec ses API.
Cela permet aux menaces d’apparaître maintes et maintes fois avec de nouveaux comptes ; alors que Discord a supprimé une grande partie de ce qui a été identifié par les chercheurs, ils ont découvert que de nouveaux logiciels malveillants étaient continuellement téléchargés ou communiquant avec Discord.
