Skip to main content

Nouvelle épidémie de programmes malveillants via Discord - que risquez-vous ?

Malware Discord
(Crédit photo: solarseven / Shutterstock)

Des chercheurs en cybersécurité ont une fois de plus constaté que Discord hébergeait des charges utiles malveillantes, ce lors d'une enquête sur l'utilisation croissante de la contrebande HTML.

Un précédent rapport des chercheurs de Sophos a montré que la plateforme de messagerie gaming, extrêmement populaire, s'est involontairement imposée comme l'alliée des cybercriminels pour héberger et distribuer des ressources malveillantes.

Aujourd'hui, les chercheurs de Menlo Security, en analysant une nouvelle attaque, ont également découvert que les hackers emploient Discord pour faire circuler des charges utiles malveillantes.

Baptisée ISOMorph, cette campagne utilise la contrebande HTML pour déposer la première portion du malware via le navigateur Web.

Des navigateurs web mis à mal

Les chercheurs expliquent que la contrebande HTML permet de diffuser les logiciels malveillants en contournant efficacement diverses solutions de sécurité réseau, notamment les sandboxes, les proxies existants et les pare-feux. 

"Nous pensons que les attaquants utilisent HTML Smuggling pour délivrer la charge utile au point de terminaison car le navigateur est l'un des maillons les plus faibles sans que les solutions réseau ne le bloquent", note Menlo Security dans un billet de blog décryptant la campagne ISOMorph.

HTML Smuggling a également été utilisé dans la campagne de spear-phishing - plus récente - du groupe Nobelium, un groupe pirate responsable de l'attaque de la chaîne d'approvisionnement de l’éditeur professionnel SolarWinds.

Parce qu’elle est fortement employée par les développeurs web comme moyen d'optimiser les téléchargements de fichiers, les cybercriminels détournent la contrebande HTML pour passer outre la sécurité standard du périmètre, explique Menlo Security.

Une fois en place, le dropper récupère la charge utile malveillante et installe des chevaux de Troie d'accès à distance (RAT) qui permettent au hacker de se servir de la machine infectée à des fins illégitimes.

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.