Alors que les gens du monde entier se tournaient vers les jeux vidéo pour rester occupés pendant la période de verrouillage pendant la pandémie, les cybercriminels en ont pris note et ont lancé de nouvelles campagnes dans le but de cibler les joueurs selon une nouvelle étude de Zscaler.
Ces attaques exploitent souvent la popularité de certains jeux tels que Among Us pour inciter les joueurs à télécharger de fausses versions qui servent des logiciels malveillants. Cependant, les cybercriminels ont également commencé à déployer des ransomwares, des voleurs d’informations d’identification et des cryptomineurs pour cibler également les joueurs.
Un point commun à beaucoup de ces nouvelles campagnes est le fait que les cybercriminels ont commencé à exploiter la plate-forme de discussion en groupe Discord en tant que CDN pour héberger leurs charges utiles malveillantes. Bien que l’utilisation du service pour héberger des charges utiles ne soit pas nouvelle, le nombre de cybercriminels a augmenté l’année dernière.
Par exemple, un attaquant peut télécharger un fichier malveillant sur un canal Discord et partager son lien public avec d’autres qui utilisent le service ainsi qu’avec ceux qui ne le font pas. Pire encore, un fichier envoyé depuis Discord est là pour toujours, donc même si un attaquant supprime un fichier partagé via le service, son lien peut toujours être utilisé pour télécharger le fichier malveillant.
Sommaire
Discord CDN
Dans un nouveau rapport, l’équipe ThreatLabZ de Zscaler a expliqué comment ses chercheurs ont observé plusieurs charges utiles, notamment le ransomware Epsilon, le voleur Redline, le mineur XMRig et les récupérateurs de jetons Discord partagés à l’aide du service.
De nombreux fichiers malveillants utilisés dans ces campagnes sont renommés en tant que logiciel piraté ou de jeu dans le but de tromper les joueurs pour qu’ils les téléchargent. Les cybercriminels utilisent également des icônes de fichiers liées aux jeux populaires pour inciter les utilisateurs à les ouvrir.
Dans le même temps, les attaquants utilisent également Discord pour la communication de commande et de contrôle (C&C) comme nous l’avons vu l’année dernière avec une nouvelle version du cheval de Troie AnarchyGrabber. Pour ceux qui ne sont pas familiers, les serveurs C&C sont des hôtes distants qui sont utilisés pour envoyer des commandes à des logiciels malveillants à exécuter sur un ordinateur infecté.
Dans leur rapport sur le sujet, Avinash Kumar, Aditya Sharma et Abhay Kant Yadav de Zcaler ont expliqué comment la popularité croissante de Discord en dehors du jeu et ses capacités CDN ont rendu le service populaire parmi les cybercriminels, en disant:
«Discord est avant tout une plate-forme de discussion conçue pour les joueurs et devient de plus en plus populaire parmi les autres communautés professionnelles pour le partage d’informations. Nous observons une augmentation de l’utilisation de l’application Discord pour livrer des fichiers malveillants par des attaquants. En raison du service de distribution de contenu statique, il est très populaire parmi les auteurs de menaces d’héberger des pièces jointes malveillantes qui restent accessibles au public même après la suppression de fichiers réels de Discord. »
