Les plateformes de collaboration comme Slack et Discord sont utilisées par les hackers pour diffuser des malwares aux victimes.
Des recherches publiées par la division Talos de Cisco révèlent que les pirates utilisent de plus en plus Slack et Discord pour distribuer des logiciels malveillants via des liens qui semblent légitimes. Slack et Discord ont leur propre façon de stocker les fichiers téléchargés. Les liens Discord commencent généralement par «cdn.discordapp», tandis que Slack utilise quelque chose comme «slack-files.com/». Une fois que les logiciels malveillants sont téléchargés sur ces plates-formes, ils peuvent ressembler à n’importe quel autre lien redirigeant vers un fichier dans Slack ou Discord, mais tout n’est pas ce qu’il semble.
Les pirates informatiques ont deux bonnes raisons d’utiliser les serveurs de fichiers Discord et Slack: les logiciels malveillants sont fournis via HTTPS et les fichiers sont soumis à un processus de compression qui en obscurcira le contenu.
Il convient de noter que les utilisateurs n’ont pas besoin d’installer Discord ni Slack pour être ciblés, car le malware ne réside pas sur la plate-forme ou l’application, mais plutôt que les pirates utilisent les liens CDN pour héberger le code malveillant et semblent légitimes. Si un utilisateur clique sur un lien redirigeant vers l’emplacement de stockage des logiciels malveillants et télécharge le fichier, il deviendra vulnérable.
Les utilisateurs peuvent voir les liens sur diverses plates-formes, mais le courrier électronique semble être le plus probable. Les e-mails contenant ces liens demandent aux utilisateurs une transaction ou expliquent l’importance d’un document particulier accessible via le lien. Les e-mails peuvent être rédigés dans différentes langues, dont l’anglais, l’espagnol, le français, l’allemand et le portugais.
Dans certains cas, le téléchargement du premier lot de fichiers n’est que la «première partie d’un processus d’infection en plusieurs étapes qui inclut souvent la livraison de binaires supplémentaires». Par exemple, si le fichier compressé comprend un document Word, l’ouverture de ce même document peut déclencher une macro qui récupérera la charge utile de l’étape suivante hébergée dans le CDN de Discord.
Les pirates utilisent également Discord et Slack pour voler les données des utilisateurs. Grâce à l’API Discord, les pirates peuvent facilement exfiltrer des informations sensibles via des webhooks via HTTPS, en se mélangeant avec le reste du trafic réseau de Discord.
La popularité et la familiarité accrues parmi les utilisateurs, la facilité de lancement d’une campagne de logiciels malveillants et l’anonymat qu’offrent les plateformes de collaboration ne sont que quelques raisons pour lesquelles les pirates informatiques les ciblent. La prochaine fois que vous verrez un lien Discord provenant d’une source sans méfiance, mieux vaut réfléchir à sa légitimité.
