Slack et Discord, nouveaux repaires pour les malwares



Slack et Discord, nouveaux repaires pour les malwares

Avec la pandémie, ces plates-formes sont de plus en plus utilisées en entreprise. C’est pourquoi elles attirent également les pirates qui les détournent à leurs fins.

En raison de la pandémie, beaucoup de personnes font du télétravail et utilisent de nouveaux outils pour échanger avec leurs collègues en temps réel comme Slack ou Discord. Ce phénomène n’a pas échappé aux pirates qui utilisent de plus en plus ces moyens de communication parvenir à leurs fins, comme viennent de le constater les chercheurs en sécurité de Cisco Talos. En effet, dans une entreprise qui utilise Slack ou Discord, les flux vers ou en provenance des infrastructures de ces services ne seront donc pas bloqués. De plus, ces flux sont toujours chiffrés en HTTPS, ce qui est bien pratique pour camoufler des données.

Des codes malveillants planqués dans les CDN


Selon Cisco Talos, les pirates s’appuient sur Slack et Discord non seulement pour diffuser leurs malwares, mais aussi pour communiquer avec leurs portes dérobées et extraire des données des systèmes ciblés. Dans le premier cas, il suffit de téléverser un fichier vers le cloud de Slack ou de Discord. Ce fichier se retrouve alors stocké sur les serveurs CDN de ces fournisseurs et il est possible de le rendre accessible publiquement par un simple lien que les pirates pourront intégrer dans leurs messages piégés.

Ces espaces de stockage pourront également servir à récupérer des malwares après l’infection initiale du poste. Les chercheurs ont trouvé pas moins de 20 000 exemplaires de codes malveillants dans les bases de VirusTotal qui pointent vers des CDN de Slack ou Discord pour chercher du renfort. Pour les équipements de filtrage, il est difficile de faire la différence entre les communications légitimes des salariés et ces contenus malveillants.

Pour le second scénario d’usage, c’est surtout Discord qui va prêter main-forte, grâce à sa fonctionnalité de « webhooks ». Celle-ci permet d’envoyer du contenu vers un serveur Discord à partir d’une simple URL, sans avoir à utiliser l’application, ce qui est très pratique. Les pirates s’approprient cette technique pour recevoir — ni vu ni connu — des alertes ou des données de reconnaissance. Ou encore pour piloter le déploiement d’un ransomware. L’idéal est évidemment d’utiliser pour cela le compte Discord de quelqu’un d’autre. Pour y arriver, les pirates volent les tokens d’accès des utilisateurs Discord, ce qui leur permet d’usurper leurs identités.

Comment freiner cet abus ? Selon ThreatPost, c’est avant tout aux plates-formes de réagir et d’implémenter des mesures de détection et de protection. L’entreprise, de son côté, ne pourra que restreindre sa surface d’attaque en diminuant le nombre d’outils de communication utilisés et en limitant les droits d’accès des salariés.



Pour plus d'information : https://www.01net.com/actualites/slack-et-discord-nouveaux-repaires-pour-les-malwares-2040891.html

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité