Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.
L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.
Le paradis perdu
Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.
La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.
Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.
Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.
Le manque de supervision de Discord a des conséquences
L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.
Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.
Le CDN de Discord
Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.
Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.
Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.
Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.
Webhook et ransomware dans Discord
Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.
Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.
TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.
Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.
Le remède aux cybermenaces liées à Discord
Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.
Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.
Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.
En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.
TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.
Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.
Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.