Des chercheurs en cybersécurité ont une fois de plus constaté que Discord hébergeait des charges utiles malveillantes, ce lors d'une enquête sur l'utilisation croissante de la contrebande HTML.
Un précédent rapport des chercheurs de Sophos a montré que la plateforme de messagerie gaming, extrêmement populaire, s'est involontairement imposée comme l'alliée des cybercriminels pour héberger et distribuer des ressources malveillantes.
Aujourd'hui, les chercheurs de Menlo Security, en analysant une nouvelle attaque, ont également découvert que les hackers emploient Discord pour faire circuler des charges utiles malveillantes.
Baptisée ISOMorph, cette campagne utilise la contrebande HTML pour déposer la première portion du malware via le navigateur Web.
- Meilleurs antivirus 2021 : quelle solution gratuite, premium ou business choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN | VPN Jeux en ligne | VPN Télétravail | VPN gratuits
- Vie privée : comment rester anonyme sur Internet et les réseaux sociaux ?
Des navigateurs web mis à mal
Les chercheurs expliquent que la contrebande HTML permet de diffuser les logiciels malveillants en contournant efficacement diverses solutions de sécurité réseau, notamment les sandboxes, les proxies existants et les pare-feux.
"Nous pensons que les attaquants utilisent HTML Smuggling pour délivrer la charge utile au point de terminaison car le navigateur est l'un des maillons les plus faibles sans que les solutions réseau ne le bloquent", note Menlo Security dans un billet de blog décryptant la campagne ISOMorph.
HTML Smuggling a également été utilisé dans la campagne de spear-phishing - plus récente - du groupe Nobelium, un groupe pirate responsable de l'attaque de la chaîne d'approvisionnement de l’éditeur professionnel SolarWinds.
Parce qu’elle est fortement employée par les développeurs web comme moyen d'optimiser les téléchargements de fichiers, les cybercriminels détournent la contrebande HTML pour passer outre la sécurité standard du périmètre, explique Menlo Security.
Une fois en place, le dropper récupère la charge utile malveillante et installe des chevaux de Troie d'accès à distance (RAT) qui permettent au hacker de se servir de la machine infectée à des fins illégitimes.
