Discord : une faille dans le système d’invitation exploitée pour délivrer des malwares !
Le système de liens d'invitation de Discord est détourné par des pirates dans le but de rediriger des utilisateurs vers des sites malveillants et infecter leur PC avec des logiciels malveillants, y compris des infostealers. Faisons le point.
La résurrection des liens d'invitations Discord expirés
Les chercheurs en cybersécurité de Check Point ont mis en lumière une nouvelle tactique employée par des cybercriminels pour piéger les utilisateurs de Discord. L'attaque repose sur une vulnérabilité dans le système d'invitation de la plateforme, permettant aux pirates de "ressusciter" des liens d'invitation expirés ou supprimés.
Pour bien comprendre cette technique, il est important de savoir comment fonctionnent les invitations sur Discord. Normalement, les liens d'invitation Discord contiennent des identifiants uniques permettant de rejoindre un serveur. Ils peuvent être temporaires, permanents ou personnalisés (ces liens vanity étant réservés aux serveurs avec un Boost de niveau 3).
Ce sont justement les liens personnalisés qui intéressent particulièrement les pirates, car ils ont découvert qu'un lien d'invitation personnalisé peut être récupéré par un autre serveur, si le serveur à l'origine de la création de ce lien l'a perdu (à cause d'une absence de renouvellement des boosts).
"Les utilisateurs croient souvent à tort qu'en cochant simplement cette case, ils rendent l'invitation existante permanente (et c'est ce malentendu qui a été exploité dans l'attaque que nous avons observée).", précisent les chercheurs.
Ce n'est pas la seule opportunité exploitable par les cybercriminels. En effet, un lien d'invitation contenant des lettres majuscules peut être réutilisé dans des liens vanity avec des minuscules, même si le code original est toujours actif, car Discord stocke et compare les liens vanity en minuscules. Cela crée une situation où le même code, avec des variations de casse, peut être valide pour deux serveurs distincts simultanément.
Des utilisateurs Discord piégés par cette technique
Pour mettre la main sur ces liens personnalisés expirés dans le but de les réutiliser, les attaquants surveillent activement les invitations Discord. D'après l'étude menée par Check Point, cette campagne malveillante a déjà touché environ 1 300 utilisateurs aux États-Unis, au Royaume-Uni, en France, aux Pays-Bas et en Allemagne.
Pour tromper les utilisateurs, les pirates diffusent des annonces sur les réseaux sociaux ou sur les forums de communautés Discord. Sauf qu'au lieu de mener vers le véritable serveur Discord, le mien mène désormais vers un serveur Discord contrôlé par les attaquants...
Une fois qu'un utilisateur rejoint un serveur contrôlé par les pirates, il n'y voit qu'un seul canal : #verify, et un bot lui demande de passer par un processus de vérification. C'est assez classique lorsque l'on cherche à se connecter à un serveur Discord, notamment pour éviter les bots.
C'est là qu'une attaque de type "ClickFix" est lancée : l'utilisateur est redirigé vers un site web imitant l'interface de Discord et prétendant que le CAPTCHA n'a pas pu se charger. Les victimes sont alors incitées à ouvrir manuellement la boîte de dialogue Exécuter de Windows et à y coller une commande PowerShell, qu'elles avaient déjà copiée dans le presse-papiers. L'idée étant de convaincre l'utilisateur d'infecter lui-même sa machine...
L'exécution de cette commande déclenche une infection en plusieurs étapes où les charges utiles sont téléchargées depuis un espace de stockage Bitbucket. Il y a notamment ces logiciels malveillants :
- AsyncRAT : livré sous le nom AClient.exe, il se connecte à Pastebin pour récupérer dynamiquement son adresse de serveur C2. Puis, quand il entre en action, il va pouvoir manipuler des fichiers, enregistrer les frappes au clavier (keylogging) et accéder à la webcam/microphone de l'ordinateur.
- Skuld Stealer : livré sous le nom skul.exe, il s'agit d'un voleur d'informations (infostealer) qui cible les identifiants mémorisés dans les navigateurs, mais aussi les cookies, les jetons Discord et les portefeuilles de cryptomonnaies.
- ChromeKatz : une version personnalisée de l'outil open-source, livrée sous le nom cks.exe, capable de voler les cookies et les mots de passe.
Les chercheurs expliquent qu'une tâche planifiée est ajoutée sur l'hôte pour relancer le chargeur de malwares toutes les cinq minutes. Ainsi, les pirates peuvent distribuer d'autres malwares sur la machine s'ils le souhaitent.
Évitez de faire confiance aux anciens liens d'invitation personnalisés, en particulier ceux provenant de publications datant de plusieurs mois. De plus, il faut être prudent au moment de traiter les demandes de "vérification" pour rejoindre un serveur Discord : il ne sera jamais légitime de vous demander d'exécuter une commande sur votre PC.
Vous pouvez consulter le rapport de Check Point pour obtenir la liste des domaines et des adresses IP utilisées dans le cadre de cette campagne.
