Actualités
Actualités Tech

Les pirates exploitent des liens incohérents et incohérents pour diffuser des logiciels malveillants


Merci beaucoup une partie de pandémie mondialeLes plateformes collaboratives comme Discord et Slack ont ​​pris une place dans nos vies, aidant à maintenir des relations personnelles malgré l’isolement physique. Mais leur rôle de plus en plus indispensable en a également fait une voie puissante pour transmettre des logiciels malveillants à des victimes involontaires – parfois de manière indésirable.

La division de la sécurité de Cisco, Talos, a publié mercredi une nouvelle recherche soulignant comment, pendant la pandémie de Covid-19, des outils de collaboration comme Slack et plus généralement Discord sont devenus le mécanisme utile pour les cybercriminels. De plus en plus fréquemment, ils sont utilisés pour fournir des logiciels malveillants aux victimes sous la forme d’un lien apparemment digne de confiance. Dans d’autres cas, les pirates ont intégré Discord dans leurs logiciels malveillants pour contrôler à distance leur code s’exécutant sur des machines infectées et même pour voler des données aux victimes. Les chercheurs de Cisco préviennent qu’aucune des techniques qu’ils ont trouvées n’exploite réellement la vulnérabilité piratable évidente dans Slack ou Discord, ou même n’exige que Slack ou Discord soit installé sur la machine d’une victime. Au lieu de cela, ils profitent simplement de certaines des fonctionnalités les moins testées de ces plates-formes de collaboration, ainsi que de leur popularité et de la confiance que les utilisateurs et les administrateurs système leur accordent.

«Les gens sont plus susceptibles de faire des choses comme cliquer sur des liens Discord qu’avant, car ils ont l’habitude de voir leurs amis et collègues publier des fichiers», a déclaré le chercheur en sécurité Cisco Talos sur Discord et leur envoyer un lien. Nick Biasini. « Tout le monde utilise des applications de collaboration, tout le monde les connaît et les méchants ont découvert qu’ils pouvaient en faire trop. »

Parmi les techniques d’exploration d’applications collaboratives dont les chercheurs Cisco mettent en garde, la plus courante utilise des plates-formes qui sont essentiellement un service de stockage de fichiers. Discord et Slack permettent aux utilisateurs de télécharger des fichiers sur leurs serveurs et de créer des liens accessibles de l’extérieur vers ces fichiers, afin que tout le monde puisse cliquer sur le lien et accéder au fichier. Dans de nombreux cas, Cisco a constaté que ces fichiers étaient malveillants; Les chercheurs ont répertorié neuf outils d’espionnage d’accès à distance récents que les pirates ont tenté d’installer de cette manière, notamment l’agent Tesla, LimeRAT et Phoenix Keylogger.

Les liens ne sont pas nécessairement envoyés aux victimes dans Slack ou Discord. Ils peuvent également être envoyés par courrier électronique, où le pirate informatique peut beaucoup plus facilement retrouver la victime, se faire passer pour le collègue de la victime et atteindre les utilisateurs avec lesquels il n’avait pas de connexion. En conséquence, Cisco a enregistré une augmentation considérable de l’utilisation de ces liens pour envoyer des logiciels malveillants par courrier électronique au cours de la dernière année. « Au cours des derniers mois, nous avons vu des dizaines de milliers de personnes et la proportion augmente régulièrement », a déclaré Biasini. « En ce moment, il semble être à son apogée. »

La société de sécurité Zscaler a également enregistré une augmentation de l’utilisation technique des cybercriminels étude publiée en février, avertissant qu’ils découvrent jusqu’à deux douzaines de variantes de logiciels malveillants par jour, y compris des ransomwares et des mineurs de crypto-monnaie, livrés sous la forme d’un faux jeu vidéo intégré dans le lien Discord. Les pirates ont également utilisé cette technique pour planter des logiciels malveillants qui volent les jetons d’authentification Discord sur les ordinateurs des victimes, permettant aux pirates de se faire passer pour eux sur Discord, en diffusant davantage de liens Discord malveillants lorsqu’ils utilisent le compte d’une victime pour cacher leurs traces.

En plus d’exploiter la confiance que les utilisateurs accordent aux liens Slack et Discord, cette technique a également altéré les logiciels malveillants, car Slack et Discord utilisent le cryptage HTTPS sur leurs liens et compressent les fichiers au fur et à mesure qu’ils sont téléchargés. Et tandis que d’autres méthodes d’archivage de logiciels malveillants peuvent être mises hors ligne ou bloquées lorsqu’un serveur de pirate est détecté, les liens Slack et Discord sont plus difficiles à supprimer ou à empêcher les utilisateurs d’accéder. « Les adversaires seront très probablement affectés par des choses comme les fermetures, les fermetures, les fichiers sur liste noire », a déclaré Biasini. « Et ce qu’ils ont fait, c’est trouver comment contourner cela. »

En plus de stocker leurs logiciels malveillants dans des liens Discord et Slack, les cybercriminels utilisent également Discord comme élément de commande et contrôlent et volent les données de leurs logiciels malveillants. Discord permet aux programmeurs d’ajouter des « webhooks » à leur code pour mettre à jour automatiquement le canal Discord avec des informations provenant d’une application ou d’un site Web. Les cybercriminels exploitent donc cette technique pour relayer les informations des ordinateurs infectés vers le serveur de commande et de contrôle qu’ils utilisent pour administrer le botnet, ou même pour extraire des données. La machine de la victime a été renvoyée au serveur. Tout comme la technique de liaison malveillante, cette astuce Webhook cache le trafic malveillant dans les communications Discord cryptées, semble plus innocente et rend plus difficile le déplacement d’une infrastructure de pirate hors ligne. (Bien que Slack propose également une fonctionnalité de webhook similaire, Cisco affirme ne pas avoir encore vu des pirates en abuser parce qu’ils ont Discord.)



Source link

Laissez un commentaire