Les robots Telegram et Discord sont utilisés pour diffuser des logiciels malveillants voleurs d’informations
Les cybercriminels utilisent des bots déployés dans les applications de messagerie populaires Discord et Telegram pour voler des informations d’identification, ont révélé de nouvelles recherches. Les utilisateurs des plates-formes de jeu Roblox et Minecraft sont également visés par des attaques similaires, selon un rapport du fournisseur de sécurité Intel471.
Les gangs utilisent des outils de vol d’informations, des chevaux de Troie, des logiciels malveillants conçus pour balayer les informations des systèmes qu’ils attachent à des robots légitimes dans les applications pour obtenir des informations d’identification telles que des données de remplissage automatique, des signets, des cookies de navigateur, des informations de carte et des mots de passe, indique le rapport.
Les robots sont utilisés sur Telegram et Discord pour permettre aux utilisateurs de partager des médias, de jouer à des jeux et de modérer des chaînes pour des contenus indésirables. Mais ils peuvent également être utilisés pour diffuser des logiciels malveillants.
L’équipe Intel471 a découvert qu’un cheval de Troie voleur d’informations, connu sous le nom de fichiers X, peut télécharger des informations stockées dans plusieurs navigateurs en accédant aux commandes du bot dans Telegram. Sur Discord, la fonctionnalité de webhooks des applications qui implémente la messagerie et les mises à jour automatisées a été cooptée par un voleur d’informations appelé Blitzed Grabber pour stocker les données volées.
L’infrastructure cloud utilisée par ces applications est également ciblée. De nombreux acteurs de la menace utilisent actuellement le réseau de diffusion de contenu (CDN) Discords pour héberger des charges utiles de logiciels malveillants, indique le rapport. Les opérateurs de logiciels malveillants ne sont apparemment confrontés à aucune restriction lors du téléchargement de leurs charges utiles malveillantes sur le CDN Discord pour l’hébergement de fichiers. Les liens sont ouverts à tous les utilisateurs sans authentification.
La conception de ces applications les rend faciles d’accès pour les criminels, explique Chris Hauk, défenseur de la vie privée des consommateurs chez Pixel Privacy. De nombreuses plates-formes de messagerie n’ont pas été conçues pour un usage organisationnel, mais ont plutôt été créées pour un usage général, explique Hauk. Ils ont souvent des API qui permettent à n’importe qui d’implémenter des logiciels malveillants, car ils ne nécessitent aucune autorisation pour écrire du code pour s’exécuter sur les plates-formes.
Les attaques de logiciels malveillants Discord et Telegram sont courantes
À mesure que la popularité de ces plates-formes de messagerie augmente, elles deviennent une cible plus attrayante pour les pirates. Discord compte actuellement 150 millions d’utilisateurs actifs contre 100 millions en 2020, tandis que Telegram prétend avoir donné 700 millions d’utilisateurs actifs, contre 400 millions il y a deux ans.
Les attaques se multiplient également. En 2021, la société de sécurité Check Point a détecté une augmentation de 140 % d’une année sur l’autre de la quantité de logiciels malveillants sur les serveurs Discord. La société avait également découvert 9 500 URL uniques hébergeant des logiciels malveillants sur Discords CDN.
Contenu de nos partenaires
L’année dernière, il a été révélé qu’une arnaque complète avait été automatisée sur Telegram pour voler de l’argent et des données de paiement. Connus sous le nom de Classicscam, les bots Telegram ont été utilisés pour fournir aux criminels des pages prêtes à l’emploi imitant les petites annonces populaires, les marchés et parfois les services de livraison. Le fournisseur de sécurité Group-IB a découvert au moins 40 groupes utilisant Classicscam, chacun exécutant un chat-bot Telegram distinct. Group-IB a estimé que les gangs gagnaient 522 000 $ par mois grâce au stratagème.
Comment les entreprises doivent-elles aborder Discord et Telegram ?
Discord est de plus en plus utilisé par les entreprises, avec plusieurs plateformes de productivité dont Slack, Trello et Microsoft Teams offrant des options d’intégration. Cela pourrait permettre à un voleur d’informations d’accéder aux données de l’entreprise.
Sur Telegram, les bots sont couramment utilisés pour faire des affaires. Ils peuvent être déployés comme une alternative aux applications mobiles car ils sont plus faciles à développer et n’obligent pas les utilisateurs à installer des applications ou des logiciels supplémentaires. Ces robots peuvent prendre en charge les communications avec les clients et même passer des commandes avec paiement.
Etay Maor, directeur principal de la stratégie de sécurité chez Cato Networks, déclare : Nous avons constaté une augmentation significative de l’utilisation des applications grand public, telles que Discord, sur les réseaux d’entreprise. Le nombre de flux Telegram sur les réseaux d’entreprise a plus que triplé au premier trimestre 2022, et les flux TikTok ont augmenté de 10 %.
Les responsables techniques doivent insister sur une visibilité totale sur l’ensemble de leur réseau, explique Maor, s’ils veulent identifier les applications exécutées dans l’organisation. Ce n’est qu’alors qu’ils pourront comprendre avec précision leur risque, ajoute-t-il.
Même si les entreprises n’utilisent pas ces applications pour mener leurs activités, les employés qui les utilisent sur leurs propres appareils pourraient être tout aussi dangereux, ajoute Hauk. Bien que les entreprises puissent interdire et bloquer l’utilisation de ces services de messagerie par les employés pendant les heures de bureau, cela n’empêche pas les employés d’utiliser les services de messagerie pendant leur temps libre, dit-il. Les organisations doivent sonder les employés pour savoir comment ils utilisent ces applications de messagerie, puis déterminer si les applications de messagerie peuvent ou non être utilisées de manière raisonnablement sûre.