Avec l’accélération du télétravail au cours des derniers mois, Slack et Discord ont totalement changé de dimension. Ces deux plateformes de discussion sont de plus en plus utilisées en entreprise. Une récente étude réalisée par des chercheurs de Cisco Talos révèle qu’elles sont aussi utilisées par les hackers pour diffuser leurs malwares ou pour piloter le déploiement d’un ransomware.

Des malwares cachés sur les serveurs de Slack et Discord

La pandémie a poussé de nombreux collaborateurs à faire du télétravail. Slack, Discord, ou Teams sont désormais des services de messagerie qui nous sont familiers. Un phénomène qui n’a pas échappé aux hackers. Les chercheurs de Cisco Talos constatent qu’ils se servent de plus en plus de ces applications pour parvenir à leurs fins. L’avantage principal ? Les flux de discussion de ces plateformes sont toujours chiffrés en HTTPS… Un moyen idéal pour cacher les malwares des pirates. À la lecture de cette étude, Slack et Discord devront absolument renforcer leurs systèmes de sécurité.

Comme l’expliquent les chercheurs dans leur enquête : « au cours de l’année 2020, nous avons observé une augmentation significative de l’abus des plateformes de collaboration pour faciliter les cyberattaques contre diverses organisations. Les attaquants cherchent à diffuser des ransomwares par le biais de ces espaces virtuels et utilisent des plateformes comme Slack et Discord pour diffuser leurs malwares afin d’infecter leurs victimes ».

Deux stratagèmes bien rodés

Les chercheurs ont identifié deux stratagèmes différents : la diffusion de malwares et la communication avec leurs portes dérobées afin d’extraire des données des infrastructures ciblées. La première stratégie des pirates consiste simplement à diffuser un fichier vers le cloud de Slack ou de Discord afin qu’il se retrouve stocké sur les serveurs CDN des applications. Une fois que c’est fait, les hackers peuvent diffuser le malware publiquement avec un simple lien qu’ils pourront intégrer dans leurs messages piégés. Ni vu, ni connu. Les chercheurs ont identifié 20 000 exemplaires de malwares sur les serveurs CDN de Slack et de Discord.

Le second stratagème des pirates informatiques consiste à piloter le déploiement d’un ransomware, notamment depuis Discord. En effet, grâce à sa fonctionnalité de « webhooks », la plateforme permet aux hackers d’envoyer du contenu vers un serveur à partir d’une simple URL, sans même avoir à utiliser l’application. Grâce à cette technique très discrète, les hackers peuvent recevoir des alertes et ainsi piloter leur cyberattaque. Pour parvenir à leurs fins, les chercheurs ont remarqué que les attaquants volaient des tokens d’accès afin d’usurper l’identité d’autres utilisateurs Discord.