Discord et Slack deviennent des foyers de malwares

Un certain nombre d’applications de collaboration Web bien connues, notamment Slack et Discord, restent détournées par des pirates pour diffuser des logiciels malveillants, ont averti les autorités.

Un nouveau rapport de l’équipe de cybersécurité Talos de Cisco a identifié que les stratégies de réseaux d’expédition de contenu (CDN) que de nombreuses plates-formes de messagerie rapide utilisent pour permettre un partage de fichiers transparent, sont au cœur des nouvelles découvertes des criminels, comme ces applications de chat.

Les CDN permettent aux clients de stocker des informations sur les serveurs des applications et sont souvent codés en dur, les rendant accessibles à l’intérieur et à l’extérieur de l’application. Le téléchargement d’informations compressées autour du HTTPS crypté rendrait la détection très difficile, tandis que les utilisateurs finaux seront probablement beaucoup moins attentifs lors de l’acquisition de documents à partir d’un environnement reconnu et fiable.

L’équipement ciblé apparaît avec une poignée d’avantages, développés pour rendre la communication plus transparente, que les cybercriminels peuvent exploiter pour distribuer plus facilement des logiciels malveillants et des ransomwares, et ils ont rapidement pris le train en marche. En plus de la distribution, ils appliquent également ces plates-formes pour le commandement et le commandement, ainsi que pour exfiltrer les données délicates des victimes.

Le processus s’est tellement développé que, selon Talos, une simple recherche d’échantillons qui arrivent sur le CDN Discord a abouti à à peu près 20 000 échantillons dans VirusTotal.

“Cette méthode a été régulièrement utilisée dans les stratégies de distribution de logiciels malveillants liées aux RAT, aux voleurs et à d’autres types de logiciels malveillants généralement appliqués pour récupérer des informations et des faits délicats à partir de méthodes infectées”, a déclaré le personnel décrit sur le site de blog.

Exfiltration et notification d’informations

En matière d’exfiltration de faits, l’API Discord, par exemple, s’est avérée être un logiciel très efficace. Comme la fonctionnalité de webhook (à l’origine destinée à fournir des alertes automatisées) a été développée pour être équipée pour envoyer toute forme d’informations, et les logiciels malveillants l’utilisent fréquemment pour que les données volées en toute confiance atteignent leur destination prévue.

“Les webhooks sont essentiellement une URL à laquelle un client peut proposer un concept, qui, en retour, publie ces informations sur le canal spécifié, le tout sans utiliser le logiciel Discord précis”, déclarent les scientifiques. “Le domaine Discord peut aider les attaquants à déguiser l’exfiltration de faits en faisant croire que n’importe quel autre visiteur du site rencontre la communauté.”

Ils utilisent également des webhooks pour être avertis d’une procédure fraîchement contaminée, par exemple.

Au fur et à mesure que les applications de messagerie rapide gagnent en popularité, les menaces augmenteront avec elles. Les entreprises doivent être conscientes des risques et décider en profondeur de la plate-forme à utiliser, ont conclu les scientifiques.

“Au fur et à mesure que de plus en plus d’applications sont disponibles et que certaines augmentent et dégringolent en popularité, de nouvelles voies seront continuellement ouvertes pour les adversaires.”