Plusieurs outils de collaboration en ligne populaires, notamment Slack et Discord, sont détournés par des pirates pour distribuer des logiciels malveillants, ont averti les experts.
Un nouveau rapport de l’équipe de cybersécurité Talos de Cisco a révélé que les méthodes de Content Delivery Networks (CDN) que de nombreuses plates-formes de messagerie instantanée utilisent pour permettre un partage de fichiers transparent sont au cœur même de l’amour retrouvé des criminels pour ces applications de chat.
Les CDN permettent aux utilisateurs de stocker des fichiers sur les serveurs des applications et sont souvent codés en dur, ce qui les rend disponibles à l’intérieur et à l’extérieur de l’application. Le téléchargement de fichiers compressés via HTTPS crypté rend la détection extrêmement difficile, tandis que les utilisateurs ont tendance à être moins prudents lorsqu’ils reçoivent des fichiers depuis un environnement connu et de confiance.
Les outils ciblés présentent quelques avantages, conçus pour rendre la communication plus transparente, que les cybercriminels peuvent exploiter pour distribuer plus facilement des logiciels malveillants et des ransomwares, et ils ont rapidement pris ce train en marche. Outre la distribution, ils utilisent également ces plates-formes pour le commandement et le contrôle, ainsi que pour exfiltrer les données sensibles des victimes.
La méthode est devenue si populaire que, affirme Talos, une simple recherche d’échantillons qui atteignent le CDN Discord a abouti à près de 20 000 échantillons dans VirusTotal.
«Cette technique était fréquemment utilisée dans les campagnes de distribution de logiciels malveillants associées aux RAT, aux voleurs et à d’autres types de logiciels malveillants généralement utilisés pour récupérer des informations sensibles à partir de systèmes infectés», a expliqué l’équipe dans le billet de blog.
Sommaire
Exfiltration et notification des données
En matière d’exfiltration de données, l’API Discord, par exemple, s’est avérée être un outil assez efficace. Comme la fonctionnalité de webhook (initialement destinée à envoyer des alertes automatisées) a été conçue pour pouvoir envoyer tout type d’informations, les logiciels malveillants l’utilisent fréquemment pour s’assurer que les données volées atteignent leur destination.
« Les webhooks sont essentiellement une URL à laquelle un client peut envoyer un message, qui à son tour publie ce message sur le canal spécifié – le tout sans utiliser l’application Discord réelle », expliquent les chercheurs. «Le domaine Discord aide les attaquants à masquer l’exfiltration des données en les faisant ressembler à tout autre trafic passant sur le réseau.»
Ils utilisent également des webhooks pour être avertis d’un système nouvellement infecté, par exemple.
Au fur et à mesure que les applications de messagerie instantanée gagnent en popularité, les menaces vont grandir avec elles. Les entreprises doivent être conscientes des risques et choisir soigneusement la plateforme à utiliser, ont conclu les chercheurs.
«Au fur et à mesure que de plus en plus d’applications deviennent disponibles et que certaines deviennent de plus en plus populaires, de nouvelles voies seront continuellement ouvertes aux adversaires.»
