La cyber-sécurité les chercheurs ont une fois de plus été témoins Discorde utilisé pour héberger des charges utiles malveillantes lors d’une enquête sur l’utilisation croissante de la contrebande HTML.
Un précédent rapport de Sophos les chercheurs ont montré que la populaire plate-forme de messagerie centrée sur les jeux est involontairement apparue comme la allié des cybercriminels comme moyen d’héberger et de distribuer malware.
Maintenant, les chercheurs de Menlo Security déconstruisant une nouvelle attaque ont également trouvé des acteurs de la menace utilisant Discord pour héberger des charges utiles malveillantes.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
Nommée ISOMorph, la campagne utilise la contrebande HTML pour supprimer le malware de première étape via le navigateur Internet.
Sommaire
Attaquer le navigateur
Les chercheurs expliquent que la contrebande HTML aide à diffuser des logiciels malveillants en contournant efficacement diverses solutions de sécurité réseau, notamment les bacs à sable, les proxys hérités et pare-feu.
« Nous pensons que les attaquants utilisent la contrebande HTML pour livrer la charge utile au point de terminaison, car le navigateur est l’un des maillons les plus faibles sans que les solutions réseau ne le bloquent », note-t-il. Menlo Security dans un article de blog analyser la campagne ISOMorph.
La contrebande HTML a également été utilisée dans le campagne de spear-phishing la plus récente par le groupe Nobelium, l’acteur menaçant qui a perpétré Attaque de la chaîne d’approvisionnement de SolarWinds.
Populaire auprès des développeurs web Afin d’optimiser les téléchargements de fichiers, les acteurs malveillants utilisent la contrebande HTML pour contourner la sécurité du périmètre standard, explique Menlo Security.
Une fois qu’il est en place, le compte-gouttes récupère la charge utile malveillante et installe des chevaux de Troie d’accès à distance (RAT) qui permettent à l’attaquant d’utiliser la machine infectée à des fins illégitimes.
