Discord émerge comme un nouveau terrain pour les cybercriminels ciblant les entreprises

Le Centre de recherche avancée Trellix (ARC) a effectué une analyse approfondie des malwares qui exploitent l’infrastructure de Discord, cette plateforme de messagerie appréciée par les gamers, et ont pu identifier qu’elle repose principalement sur deux tactiques :

• Le téléchargement de fichiers supplémentaires :

• • Pour télécharger des fichiers depuis Discord, les pirates utilisent la fonction CDN de Discord. Ils créent un faux utilisateur Discord pour télécharger le fichier, puis ils envoient le lien du fichier dans une conversation privée ou de groupe. Ensuite, ils copient le lien du fichier pour le télécharger à partir de n’importe quel système avec HTTP/HTTPS activé en utilisant une simple requête GET.

• L’exfiltration d’informations sensibles :
  • L’exfiltration via Discord se fait avec les webhooks, une fonctionnalité qui permet à un attaquant d’envoyer des fichiers et des données depuis un serveur privé Discord. Pour cela, l’attaquant a besoin d’un compte Discord et de créer un webhook lié à un canal spécifique sur ce serveur. Une fois créé, le webhook génère une URL comprenant deux parties essentielles : l’ID du webhook et le jeton. L’attaquant a seulement besoin de cette URL pour exfiltrer des informations, qui sont également accessibles à d’autres utilisateurs.
  • Les chercheurs de Trellix ont également identifié que, dans la plupart des cas, il était question de voleurs d’informations et de chevaux de Troie d’accès à distance (RAT) mais ces derniers ont également mis en évidence un cas spécifique ciblant les infrastructures critiques en Ukraine, associé à une activité APT, ce qui introduit un nouveau niveau de complexité dans le paysage des menaces.

    Vous trouverez ici plus de détails sur ces recherches et les conclusions du Centre de recherche avancée de Trellix. Tribune