Alors que les gens du monde entier se tournaient vers les jeux vidéo pour s’occuper pendant la période de confinement liée à la pandémie, les cybercriminels en ont pris note et ont lancé de nouvelles campagnes pour cibler les joueurs, selon une nouvelle étude de Zscaler. Ces attaques profitent souvent de la popularité de certains jeux comme Among Us pour inciter les joueurs à télécharger de fausses versions qui servent le malware. Cependant, les cybercriminels ont également commencé à déployer des ransomwares, des voleurs d’identifiants et des cryptomineurs pour cibler également les joueurs. Le point commun à bon nombre de ces nouvelles campagnes est le fait que les cybercriminels ont commencé à exploiter la plateforme de discussion de groupe Discord comme CDN pour héberger leurs charges utiles malveillantes. Même si l’utilisation du service pour héberger des charges utiles n’a rien de nouveau, le nombre de cybercriminels a augmenté au cours de la dernière année. Par exemple, un attaquant peut télécharger un fichier malveillant sur une chaîne Discord et partager son lien public avec d'autres personnes qui utilisent le service et avec celles qui ne l'utilisent pas. Pire encore, un fichier téléchargé depuis Discord est là pour toujours, donc même si un attaquant supprime un fichier partagé via le service, son lien peut toujours être utilisé pour télécharger le fichier malveillant.
Discorde CDN
Dans un nouveau rapport, l'équipe ThreatLabZ de Zscaler a expliqué comment ses chercheurs ont observé plusieurs charges utiles, notamment le ransomware Epsilon, le voleur Redline, le mineur XMRig et les creuseurs de jetons Discord partagés à l'aide du service. De nombreux fichiers malveillants utilisés dans ces campagnes sont rebaptisés logiciels piratés ou de jeux dans le but d'inciter les joueurs à les télécharger. Les cybercriminels utilisent également des icônes de fichiers liées à des jeux populaires pour inciter les utilisateurs à les ouvrir. Dans le même temps, les attaquants utilisent également Discord pour la communication de commande et de contrôle (C&C), comme nous l'avons vu l'année dernière avec une nouvelle version du cheval de Troie AnarchyGrabber. Pour ceux qui ne le connaissent pas, les serveurs C&C sont des hôtes distants utilisés pour envoyer des commandes de logiciels malveillants à exécuter sur un ordinateur infecté. Dans leur rapport sur le sujet, Avinash Kumar, Aditya Sharma et Abhay Kant Yadav de Zcaler ont expliqué comment la popularité croissante de Discord en dehors du jeu et ses capacités CDN ont rendu le service populaire auprès des cybercriminels, en déclarant : « Discord est avant tout une plateforme de discussion conçue pour joueurs et devient de plus en plus populaire parmi d’autres communautés professionnelles pour le partage d’informations. Nous constatons une augmentation de l'utilisation de l'application Discord pour transmettre des fichiers malveillants par des attaquants. En raison du service de diffusion de contenu statique, il est très courant parmi les auteurs de menaces d'héberger des pièces jointes malveillantes qui restent accessibles au public même après la suppression de vrais fichiers de Discord. "