Des malwares sur Discord et comment vous en protéger | Blog officiel de Kaspersky
Depuis le lancement des services de chat et de VoIP de Discord il y a six ans, la plateforme est devenue l’outil idéal pour créer des communautés ayant les mêmes centres d’intérêt, surtout dans le monde des gamers. Pourtant, tout comme n’importe quel autre programme qui héberge des contenus générés par les utilisateurs, certains peuvent utiliser Discord à mauvais escient. Les nombreuses options de personnalisation de Discord permettent de lancer des attaques qui visent les utilisateurs ordinaires, connectés ou non au serveur de chat. Une étude récente de la sécurité de Discord a révélé que plusieurs scénarios d’attaques informatiques sont possibles via son service de chat, et que certaines méthodes peuvent être très dangereuses pour les utilisateurs. Nous vous expliquons comment vous protéger.
Des malwares distribués sur Discord
Les fichiers malveillants distribués sur Discord sont la menace la plus évidente. Une étude récente a identifié plusieurs dizaines de malwares différents. Nous considérons cette menace comme « évidente » tout simplement parce qu’il est extrêmement facile de partager des fichiers sur Discord. Chaque fichier téléchargé sur la plateforme reçoit une URL permanente, dont le format ressemble à cela :
cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}
La plupart des fichiers peuvent être téléchargés gratuitement et par n’importe qui en suivant le lien.
L’étude prend l’exemple d’une attaque dans la vie réelle : un faux site Internet qui propose les téléchargements des clients de salles de conférence de la version Web de Zoom. Le site ressemble au vrai, et le fichier malveillant est stocké sur un serveur Discord. Cette méthode permet de contourner les restrictions qui empêchent le téléchargement de fichiers de source inconnue. Les raisons sont que les serveurs de cette célèbre application utilisée par des millions de personnes sont moins susceptibles d’être bloqués par des solutions antimalware.
Cette « astuce » malveillante est aussi flagrante que sa réponse : les solutions de sécurité de haute qualité n’analysent pas seulement la source du téléchargement pour déterminer la dangerosité du fichier. Les outils de Kaspersky détectent immédiatement la fonctionnalité malveillante lorsque l’utilisateur essaie de télécharger le fichier la première fois, par exemple, puis, à l’aide d’un système de sécurité basé sur le Cloud, communiquent à tous les autres utilisateurs que le fichier doit être bloqué.
Tous les services qui permettent le téléchargement de contenus générés par les utilisateurs rencontrent des problèmes d’abus. Les pages d’hameçonnage sont créées grâce aux sites Internet d’hébergement gratuits puis les chevaux de Troie sont distribués sur les plateformes de partage des fichiers. Les services qui remplissent automatiquement les formulaires sont utilisés pour distribuer des spams. La liste est longue. Les propriétaires de ce genre de plateformes essaient de lutter contre ces abus mais les résultats sont mitigés.
Il est évident que les développeurs de Discord doivent prendre certaines mesures de protection fondamentales pour l’utilisateur. Par exemple, les fichiers utilisés sur le serveur d’un chat en particulier ne devraient pas être accessibles à tout le monde. La vérification et le blocage automatiques de malwares connus sont une autre mesure avisée. Néanmoins, ce problème est le moins étrange pour Discord, et pour y faire face la plateforme doit tout simplement adopter la même approche qu’avec n’importe quel autre malware. En revanche, ce n’est pas la seule menace que les utilisateurs peuvent rencontrer.
Des bots malveillants
Une autre étude récente montre à quel point il est facile d’exploiter le système bot de Discord. Les bots prolongent les fonctionnalités du serveur de chat de diverses façons, et Discord offre aux utilisateurs un vaste choix d’options pour qu’ils puissent personnaliser le chat. Un exemple de code malveillant lié au chat a récemment été publié sur GitHub (puis rapidement supprimé). En utilisant les principales capacités de l’API de Discord, l’auteur pouvait exécuter un code arbitraire sur l’ordinateur de l’utilisateur. Cette méthode devait ressembler à cela :
Un chatbot malveillant lance un programme de façon arbitraire sur l’ordinateur de l’utilisateur après avoir reçu l’ordre depuis un chat de Discord. Source
Dans un scénario d’attaque, le code malveillant dépend d’un client Discord installé localement pour se lancer automatiquement au démarrage. L’installation d’un bot de source inconnue peut provoquer une telle infection.
Les chercheurs ont aussi analysé un autre scénario de mauvaise utilisation qui ne dépend pas de l’installation d’un client Discord. Dans ce cas, le malware utilise le service de chat pour communiquer. Grâce à l’API publique, à un processus d’enregistrement simple et à un chiffrement basique des données, une porte dérobée peut facilement et aisément utiliser Discord pour envoyer des données à propos du système infecté à ses opérateurs, et en retour recevoir des ordres pour exécuter le code, installer de nouveaux modules malveillants, ou autres.
Ce scénario est assez dangereux puisqu’il simplifie beaucoup le travail des cybercriminels, qui n’ont pas besoin de créer une interface de communication avec l’ordinateur infecté puisqu’il leur suffit d’utiliser quelque chose qui est déjà disponible. D’autre part, cette méthode complique quelque peu la détection de l’activité malveillante. Les échanges entre la porte dérobée et ses opérateurs ressemblent à l’activité normale de l’utilisateur sur un chat.
La protection des gamers
Même si les menaces mentionnées ci-dessus concernent tous les utilisateurs de Discord, elles ne touchent principalement que ceux qui utilisent Discord lorsqu’ils jouent : communication orale et écrite, streaming, collecte de statistiques sur les jeux vidéo, etc. De telles utilisations impliquent une personnalisation majeure et augmentent le risque de trouver et d’installer des extensions malveillantes.
Cet environnement détendu et apparemment sûr représente une menace supplémentaire et améliore le taux de réussite des techniques d’ingénierie sociale. Nous mordons plus facilement à l’hameçon lorsque nous parlons tranquillement avec des gens que nous pensons être nos amis. Nous vous conseillons de suivre les mêmes conseils d’hygiène informatique sur Internet et sur Discord. Ne cliquez pas sur les liens suspects et ne téléchargez pas des fichiers douteux. Analysez les offres qui semblent trop belles pour être vraies. Ne partagez aucune information personnelle ou bancaire.
Quant aux chevaux de Troie et portes dérobées, basés sur Discord ou tout simplement distribués sur la plateforme, ils n’ont rien de spécial et ne sont pas vraiment différents des autres types de malwares. Installez un antivirus fiable pour vous protéger et ne l’arrêtez jamais, même lorsque vous installez un logiciel ou ajoutez des bots à un serveur de chat. Faites aussi attention aux alertes que vous recevez.
La performance du système ne devrait pas vous inquiéter. Nos produits de sécurité sont équipés d’un mode de jeux qui réduit la consommation au maximum sans affecter votre protection.