Posté le octobre 21, 2021 à 19:12
DES HACKERS EXPLOITENT DES BOTS DISCORD POUR LANCER DES ATTAQUES DE LOGICIELS MALVEILLANTS
En raison de l’augmentation du nombre d’utilisateurs, les plateformes de VoIP, de messagerie et de communication numérique sont de plus en plus ciblées par les hackers. La plupart des entreprises et des particuliers se tournant vers les réunions virtuelles, ces plateformes sont devenues très populaires au cours de l’année écoulée.
L’une des plateformes les plus courantes qui facilitent la distribution d’informations numériques sur différentes plateformes est Discord. Il s’agit d’une application multiplateforme comptant plus de 19 millions de serveurs actifs. La plateforme abrite des contenus tels que les jeux, les arts, le marketing, la finance, les sports, etc. Les statistiques sur cette plateforme montrent également qu’elle compte plus de 150 millions d’utilisateurs mensuels actifs.
Une recherche de Check Point a montré que les hackers cherchent maintenant des moyens de compromettre cette nouvelle technologie. La recherche met en évidence un logiciel malveillant qui peut compromettre n’importe qui sur Github. Le logiciel malveillant peut exécuter diverses opérations telles que des captures d’écran, le téléchargement et l’exécution de fichiers supplémentaires et l’enregistrement de frappe. Ces compromissions sont effectuées en utilisant les fonctionnalités critiques de Discord.
Les bots Discord utilisés pour distribuer des logiciels malveillants
Les bots Discord sont développés pour permettre aux utilisateurs d’automatiser diverses fonctions à l’aide du serveur Discord. Cependant, la recherche menée par Check Point révèle que ces bots peuvent également être utilisés à des fins malveillantes.
Ce logiciel malveillant passe inaperçu car la communication entre le serveur Discord, l’appareil de la victime et les attaquants est cryptée. Selon l’étude, ce cryptage peut donner aux hackers un moyen facile de compromettre les appareils et de les transformer en bots malveillants.
Dans le rapport, les chercheurs déclarent que « l’API Discord ne nécessite aucun type de confirmation ou d’approbation et est ouverte à l’utilisation de tous. En raison de ces libertés de l’API Discord, la seule façon d’empêcher les logiciels malveillants sur Discord est de désactiver tous les bots Discord. La prévention des logiciels malveillants sur Discord ne peut se faire sans nuire à la communauté Discord. Par conséquent, c’est aux utilisateurs d’agir pour assurer la sécurité de leurs appareils. »
La recherche a mis en évidence plusieurs cas où les attaquants ont exploité Discord et l’ont déguisé en un service malveillant de collecte de fichiers. Les chercheurs ont également noté que la fonctionnalité de Discord permettait de compromettre très facilement les systèmes. Les chercheurs ont indiqué que tout fichier d’une taille inférieure ou égale à 8 Mo pouvait être téléchargé et envoyé à d’autres systèmes via Discord. La plate-forme n’analyse pas le contenu, ce qui facilite la diffusion de logiciels malveillants par le biais de ce système.
La recherche indique également que « Comme le cache de Discord n’est pas surveillé par les antivirus modernes, qui alertent l’utilisateur au cas où un fichier reçu est considéré comme malveillant, les fichiers restent disponibles au téléchargement. En attendant que des mécanismes pertinents soient mis en œuvre, les utilisateurs doivent appliquer des mesures de sécurité et ne télécharger que des fichiers de confiance. »
Le logiciel malveillant peut être facilement localisé sur Internet
L’étude de Check Point comprend également une analyse préliminaire des logiciels malveillants utilisés. Le résultat de cette étude montre les différentes capacités qui ont pu être développées à l’aide des fonctions de base du langage de programmation Python. Les logiciels malveillants et les bots utilisés par les attaques peuvent également être facilement trouvés sur Internet.
Le logiciel malveillant n’a pas été développé dans un seul langage, mais dans un langage multiplateforme. Cela permet au logiciel malveillant de fonctionner sur différents systèmes, notamment Linux, OSX et Windows.
DiscordRootKit est un exemple de logiciel malveillant détecté sur cette plate-forme. Ce logiciel malveillant a été écrit en Python et dispose d’un large éventail de fonctionnalités telles que l’ouverture d’un shell sur l’appareil de la victime, la recherche de différents jetons de navigateur, la prise de captures d’écran, la prise de captures d’écran de la webcam à partir de la caméra de l’appareil et l’enregistrement de frappe.
Check Point a ajouté que le logiciel malveillant pouvait être utilisé pour « ajouter une porte dérobée au fichier index.js de Discord. Ceci à des fins de persistance. Discord dispose de contrôles d’intégrité pour ses fichiers, mais le fichier index.js fait exception. Cela permet au logiciel malveillant d’implémenter une porte dérobée dans le fichier qui reste indétectée (cette charge utile spécifique n’est pas non plus détectée par différents antivirus). Cela peut être utilisé pour exécuter du code arbitraire sur le client avec les privilèges de l’utilisateur une fois que Discord est ouvert par l’utilisateur (s’il existe sur le système). »
Check Point n’a pas détaillé les mesures que les utilisateurs de Discord peuvent prendre pour éviter d’être victimes de ces attaques. Cependant, les moyens de précaution en ligne restent les mêmes, notamment l’utilisation de pare-feu puissants pour s’assurer que les utilisateurs protègent leurs appareils contre toute forme d’attaque malveillante.
