LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les plateformes de collaboration comme Slack et Discord sont désormais utilisées par les hackers pour diffuser des malwares. En déguisant des liens malveillants et communications d'entreprise, les cybercriminels peuvent très facilement piéger les employés…
Depuis le début de la pandémie de COVID-19, les confinements et le télétravail obligatoire ont stimulé l'adoption massive d'outils collaboratifs comme Slack et Discord. En conséquence, les cybercriminels s'intéressent de près à ces plateformes basées sur le Cloud.
Un rapport publié cette semaine par l'équipe Talos de Cisco révèle que les hackers utilisent de plus en plus Discord et Slack à des fins maléfiques. Ces applications sont exploitées dans l'unique but de piéger les utilisateurs, de les inciter à ouvrir des pièces jointes corrompues ou de déployer divers malwares comme Agent Tesla, AsyncRAT et Formbook.
Comme l'expliquent les chercheurs de Talos, » l'un des principaux défis associés au déploiement de malwares est de s'assurer que les fichiers, domaines ou systèmes ne soient pas bloqués ou désactivés « . Or, » exploiter les applications de messageries permet de contourner ces obstacles et d'augmenter les chances que les pièces jointes atteignent leurs cibles « .
Les CDN Discord et Slack exploités par les hackers
Pour comprendre cette tendance, il faut s'intéresser au fonctionnement de Slack, Discord, et autres logiciels collaboratifs. Ces plateformes utilisent des Réseaux de Diffusion de Contenu (CDN) pour stocker les fichiers partagés au sein des différents canaux.
Dans son rapport, Talos prend pour exemple le CDN Discord accessible par une URL depuis n'importe où et par n'importe qui sur le web. Après avoir téléchargé des fichiers sur la plateforme, les utilisateurs peuvent créer des liens externes pour permettre à un destinataire d'accéder aux fichiers même s'il n'a pas installé Slack.
Or, les hackers peuvent exploiter ce système pour inciter les utilisateurs à cliquer sur un lien malveillant. En voyant le lien dans un canal Slack de son entreprise, un employé pensera qu'il s'agit d'une pièce jointe envoyée par un collègue et cliquera sans se méfier.
Pour parfaire le traquenard, les hackers peuvent même délivrer leur malware vers le CDN en exploitant le chiffrement HTTPS et la compression. Différents algorithmes très communs sont utilisés comme .ACE, .GZ, .TAR ou .ZIP.
Dans la plupart des cas, les liens malveillants s'accompagnent de messages prétendant qu'il s'agit d'une facture, d'un ordre d'achat ou d'autres documents importants pour les cibles potentielles. Ces messages peuvent être rédigés dans plusieurs langages, dont le français, l'anglais, l'espagnol, l'allemand ou le portugais.
Les CDN peuvent aussi être utilisés par les criminels pour diffuser des bugs additionnels avec des tactiques d'infection en plusieurs étapes. Une seule recherche sur le CDN Discord a permis aux chercheurs de Talos de découvrir près de 20 000 résultats dans VirusTotal.
Parmi les malwares les plus diffusés par le biais de cette méthode, on retrouve les Chevaux de Troie à distance (RAT), et les » stealers « permettant de dérober des données. Un hacker pourra par exemple utiliser un serveur » commande et contrôle » pour communiquer avec le maliciel et exfiltrer les données via un serveur DNS.
L'API Discord est fréquemment utilisé pour exfiltrer les données via des communications C2. Ces dernières sont rendues possibles par des » webhooks » initialement développés pour envoyer des messages automatisés vers un serveur Discord sans utiliser l'application en elle-même.
Quelques tokens volés permettent à un hacker d'exploiter les webhooks pour diffuser facilement des malwares, en tout anonymat. Ce flux de communication peut aussi être utilisé pour alerter les cyberattaquants lorsque de nouveaux systèmes peuvent être détournés.
En parallèle, les chercheurs de Talos ont découvert que des hackers utilisent l'API et les webhooks Discord pour la communication C2, l'exfiltration de données et l'enregistrement de bot dans le cadre de campagnes de diffusion du ransomware Pay2Decrypt LEAKGAP.
Comment lutter contre ce nouveau fléau ?
Ce phénomène est notamment lié au fait que Discord n'implémente pas de système de vérification de client pour empêcher l'usurpation d'identité via le vol de token d'accès. C'est ce qui a mené à l'implémentation de nombreux » voleurs de tokens » Discord implémentés et distribué sur GitHub ou autres forums.
Dans la majeure partie des cas, ces » tokens stealers » sont présentés comme des outils liés aux jeux vidéo en ligne. Cette méthode permet de piéger efficacement les utilisateurs, puisque Discord est l'une des plateformes de messagerie les plus utilisées par les gamers. Leurs comptes sont ensuite utilisés par les hackers pour diffuser anonymement des malwares.
Pour lutter contre ce nouveau fléau, il serait nécessaire que les plateformes comme Slack et Discord implémentent une meilleure sécurité. Des contrôles d'accès permettraient de mieux verrouiller l'environnement, et des options de surveillance seraient elles aussi bienvenues.
Les fournisseurs de logiciels de sécurité antivirus pourraient eux aussi permettre de mieux détecter et bloquer les attaques sur ces nouveaux canaux de communication. Les entreprises doivent quant à elles implémenter de meilleures mesures de limites des privilèges, et surtout réduire au maximum le nombre de plateformes collaboratives qu'elles utilisent pour gagner en simplicité et donc en contrôle.
- Partager l'article :
