Dans le cadre de la dernière évolution des acteurs de la menace qui abusent des infrastructures légitimes à des fins néfastes, de nouvelles découvertes montrent que des groupes de piratage informatiques au niveau des États-nations sont entrés dans la mêlée en tirant parti de la plateforme sociale pour cibler les infrastructures critiques.
Discord, ces dernières années, est devenu une cible lucrative, agissant comme un terrain fertile pour l’hébergement de logiciels malveillants à l’aide de son réseau de diffusion de contenu (CDN), permettant aux voleurs d’informations de siphonner les données sensibles de l’application et facilitant l’exfiltration de données au moyen de webhooks.
« L’utilisation de Discord est largement limitée aux voleurs d’informations que tout le monde peut acheter ou télécharger sur Internet », ont déclaré les chercheurs de Trellix Ernesto Fernández Provecho et David Pastor Sanz. dit dans un rapport de lundi.
Mais cela pourrait changer, car la société de cybersécurité a déclaré avoir trouvé des preuves d’un artefact ciblant les infrastructures critiques ukrainiennes. Il n’existe actuellement aucune preuve le liant à un groupe menaçant connu.
« »L’émergence potentielle de campagnes de logiciels malveillants APT exploitant les fonctionnalités de Discord introduit une nouvelle couche de complexité dans le paysage des menaces », ont noté les chercheurs.
L’exemple est un fichier Microsoft OneNote distribué via un message électronique usurpant l’identité de l’organisation à but non lucratif dobro.ua.
Le fichier, une fois ouvert, contient des références à des soldats ukrainiens pour inciter les destinataires à faire un don en cliquant sur un bouton piégé, ce qui entraîne l’exécution d’un script Visual Basic (VBS) conçu pour extraire et exécuter un script PowerShell afin d’en télécharger un autre. script à partir d’un référentiel GitHub.
De son côté, dans la phase finale, PowerShell profite d’un webhook Discord pour exfiltrer les métadonnées du système.
« Le fait que le seul objectif de la charge utile finale soit d’obtenir des informations sur le système indique que la campagne en est encore à ses débuts, ce qui correspond également à l’utilisation de Discord comme [command-and-control] », ont déclaré les chercheurs.
« Cependant, il est important de souligner que l’acteur pourrait à l’avenir transmettre un logiciel malveillant plus sophistiqué aux systèmes compromis en modifiant le fichier stocké dans le référentiel GitHub. »
L’analyse de Trellix a en outre révélé que les chargeurs tels que SmokeLoader, PrivateLoader et GuLoader font partie des familles de logiciels malveillants les plus répandues qui utilisent le CDN de Discord pour télécharger une charge utile de prochaine étape, y compris des voleurs comme RedLine, Vidar, Agent Tesla et Umbral.
En plus de cela, certaines des familles de logiciels malveillants courantes qui ont été observées à l’aide des webhooks Discord sont Mercurial Grabber, Stealerium, Typhon Stealer et Venom RAT.
« L’utilisation abusive du CDN de Discord comme mécanisme de distribution de charges utiles supplémentaires de logiciels malveillants montre la capacité d’adaptation des cybercriminels pour exploiter les applications collaboratives à leur profit », ont déclaré les chercheurs.
« Les APT sont connues pour leurs attaques sophistiquées et ciblées, et en infiltrant des plateformes de communication largement utilisées comme Discord, elles peuvent établir efficacement une présence à long terme au sein des réseaux, mettant ainsi en danger les infrastructures critiques et les données sensibles. »