En raison de la pandémie, beaucoup de personnes font du télétravail et utilisent de nouveaux outils pour échanger avec leurs collègues en temps réel comme Slack ou Discord. Ce phénomène n’a pas échappé aux pirates qui utilisent de plus en plus ces moyens de communication parvenir à leurs fins, comme viennent de le constater les chercheurs en sécurité de Cisco Talos. En effet, dans une entreprise qui utilise Slack ou Discord, les flux vers ou en provenance des infrastructures de ces services ne seront donc pas bloqués. De plus, ces flux sont toujours chiffrés en HTTPS, ce qui est bien pratique pour camoufler des données.
Des codes malveillants planqués dans les CDN
Selon Cisco Talos, les pirates s’appuient sur Slack et Discord non seulement pour diffuser leurs malwares, mais aussi pour communiquer avec leurs portes dérobées et extraire des données des systèmes ciblés. Dans le premier cas, il suffit de téléverser un fichier vers le cloud de Slack ou de Discord. Ce fichier se retrouve alors stocké sur les serveurs CDN de ces fournisseurs et il est possible de le rendre accessible publiquement par un simple lien que les pirates pourront intégrer dans leurs messages piégés.
Ces espaces de stockage pourront également servir à récupérer des malwares après l’infection initiale du poste. Les chercheurs ont trouvé pas moins de 20 000 exemplaires de codes malveillants dans les bases de VirusTotal qui pointent vers des CDN de Slack ou Discord pour chercher du renfort. Pour les équipements de filtrage, il est difficile de faire la différence entre les communications légitimes des salariés et ces contenus malveillants.
A découvrir aussi en vidéo :
Pour le second scénario d’usage, c’est surtout Discord qui va prêter main-forte, grâce à sa fonctionnalité de « webhooks ». Celle-ci permet d’envoyer du contenu vers un serveur Discord à partir d’une simple URL, sans avoir à utiliser l’application, ce qui est très pratique. Les pirates s’approprient cette technique pour recevoir — ni vu ni connu — des alertes ou des données de reconnaissance. Ou encore pour piloter le déploiement d’un ransomware. L’idéal est évidemment d’utiliser pour cela le compte Discord de quelqu’un d’autre. Pour y arriver, les pirates volent les tokens d’accès des utilisateurs Discord, ce qui leur permet d’usurper leurs identités.
Comment freiner cet abus ? Selon ThreatPost, c’est avant tout aux plates-formes de réagir et d’implémenter des mesures de détection et de protection. L’entreprise, de son côté, ne pourra que restreindre sa surface d’attaque en diminuant le nombre d’outils de communication utilisés et en limitant les droits d’accès des salariés.
Sources: Cisco Talos, ThreatPost
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.