Discord et Telegram : la démocratisation de la cybercriminalité

Introduction

Dans le paysage en constante évolution de la cybersécurité, de nouvelles technologies, de nouvelles plateformes, de nouveaux produits — et, par conséquent, de nouvelles menaces — émergent continuellement dans le cyberespace. Parmi ces nouvelles technologies, deux marques, que l’on peut qualifier à la fois de nouveaux réseaux sociaux et d’applications de messagerie, se sont imposées : Telegram et Discord. Ces deux plateformes sont devenues très populaires ces dernières années, rassemblant aujourd’hui des millions d’utilisateurs et de nombreuses communautés.

Même si ces deux applications ont révolutionné les écosystèmes de communication et de messagerie grâce à leur simplicité et leur capacité à créer des groupes et des communautés, elles ont également ouvert de nouvelles opportunités pour les acteurs malveillants.

Une aubaine pour les cybercriminels

Aujourd’hui, Discord et Telegram peuvent être considérés comme un terrain de jeu pour les acteurs malveillants sur le Clearnet. Les cybercriminels tirent parti de l’anonymat offert par ces deux plateformes, ainsi que d’une certaine forme de laxisme qui y règne. Même si les administrateurs des plateformes bannissent ou suppriment les contenus malveillants qui enfreignent leur « politique de sécurité », la majorité des contenus nuisibles passe entre les mailles du filet.

Ces deux applications ont mis en place leurs propres systèmes d’API (avec même une implémentation de Webhook pour Discord), permettant aux utilisateurs d’automatiser des tâches en développant des bots pour les canaux créés sur Telegram et pour les serveurs créés sur Discord. Malheureusement, comme pour de nombreuses technologies Internet, les avantages des fonctionnalités API de Telegram et Discord sont éclipsés par leur détournement. Les acteurs malveillants exploitent ces outils pour mener des activités illégales, en manipulant les fonctionnalités offertes à leur avantage.

Une quantité considérable de malwares, en particulier des Stealers (c’est-à-dire des chevaux de Troie conçus pour collecter des informations sensibles sur un hôte, telles que les identifiants enregistrés dans les navigateurs web, les cookies de session, les données de cartes bancaires ou les portefeuilles de cryptomonnaies), utilisant les technologies de bots de Telegram et Discord comme mécanisme de Command & Control, ont émergé ces dernières années. Dans cette émergence, les bots Telegram sont nettement préférés aux bots Discord, qui restent encore relativement rares dans le paysage des menaces. Parmi les stealers les plus connus, Agent Tesla est capable d’exfiltrer les données volées vers un canal Telegram en utilisant l’API de Telegram. En postant les données via le protocole TLS vers le domaine api.telegram.org, il devient difficile de qualifier ce trafic chiffré de suspect sans analyser le comportement des requêtes (fréquence, requêtes vers l’API en dehors des heures ouvrables, etc.).

Par ailleurs, Discord permet également l’hébergement de fichiers via son réseau de diffusion de contenu (CDN), une fonctionnalité exploitée par les cybercriminels pour héberger et propager toutes sortes de malwares, notamment des Stealers (encore…) et des Wipers (c’est-à-dire des malwares conçus pour détruire des données), comme WhisperGate. WhisperGate est un wiper russe qui a été déployé via le CDN de Discord contre des organisations ukrainiennes en janvier 2022, ce qui montre que le phénomène n’est pas nouveau. Cependant, au dernier trimestre 2023, Discord a introduit des liens temporaires pour les contenus hébergés en dehors de la plateforme (liens valides pendant 24 heures) afin de « stopper la diffusion de malwares ». Cela pourrait indiquer une volonté de Discord de freiner l’utilisation abusive de son CDN par les cybercriminels.

Néanmoins, on peut se demander si la véritable raison de la mise en place de ces liens temporaires était réellement de prévenir l’exploitation de leur CDN par des acteurs malveillants pour diffuser des malwares via des téléchargements furtifs (drive-by-download), ou simplement de réduire les coûts de stockage, leur CDN étant utilisé comme un serveur de fichiers « gratuit » par de nombreux utilisateurs.

Une opportunité pour les acteurs malveillants inexpérimentés

Accessibles sur le Clearnet et faciles à utiliser, Telegram et Discord éliminent la nécessité de naviguer sur des forums obscurs du dark web, abaissant ainsi la barrière d’entrée à la cybercriminalité. En conséquence, des individus peu expérimentés, avec un bagage informatique limité, peuvent s’engager dans des activités cybercriminelles en exploitant les fonctionnalités avancées de Telegram et Discord pour mener et coordonner des attaques avec une relative facilité et un certain anonymat. Cette tendance amplifie le paysage des menaces cyber, car un plus grand nombre d’acteurs peuvent exploiter ces plateformes à des fins illicites.

Telegram, grâce à la forte visibilité publique de ses canaux (comparée à celle des serveurs Discord), est davantage prisé par les apprentis cybercriminels pour mener des opérations illicites à grande échelle, telles que des campagnes de phishing organisées via des kits de phishing basés sur son API (et vendus sur des canaux privés Telegram conçus comme des places de marché du dark web), des revendications d’attaques par déni de service distribué (DDoS), ou encore des revendications de défiguration de sites web. Discord, quant à lui, est principalement utilisé pour le phishing ciblé individuel et le partage de connaissances entre ces nouveaux acteurs malveillants.

Les conflits géopolitiques actuels ont un impact direct sur le paysage des menaces cyber, en particulier en augmentant la fréquence des attaques DDoS motivées par des raisons politiques.

L’intensification du conflit russo-ukrainien en février 2022 et du conflit israélo-palestinien en octobre 2023 a entraîné une hausse des revendications d’attaques DDoS sur divers canaux Telegram, opérés par des groupes de hacktivistes. Parmi ces groupes, le groupe pro-russe NoName57(016) a ciblé des organisations luxembourgeoises et belges avec des attaques DDoS en mars 2024.

Les menaces de NoName057(16) contre l'Etat luxembourgeois et des organisations luxembourgeoises via des attaques DDoS en mars 2024

Nombre de revendications d'attaques DDoS identifiées par le TCS-CERT de mai 2023 à mai 2024.

Un marché émergent

Les places de marché cybercriminelles sur Discord et Telegram sont devenues de plus en plus sophistiquées et répandues, servant de centres névralgiques pour des activités illégales, telles que la vente de données volées, la distribution de logiciels malveillants, ou encore des marchés de kits de phishing. La présence de ces deux applications sur le Clearnet, leur ergonomie, leur système de communication en temps réel et l’anonymat qu’elles offrent facilitent les opérations cybercriminelles. Sur ces deux plateformes, les utilisateurs peuvent trouver des canaux et groupes dédiés à divers services illégaux, comme des marchés de cartes bancaires volées, des places de marché de malwares, ou encore la vente de divers identifiants compromis. Ces places de marché fonctionnent souvent sur invitation uniquement, garantissant un certain niveau de confiance au sein de la communauté. Les transactions s’effectuent généralement de manière discrète et en cryptomonnaies, ajoutant une couche supplémentaire d’anonymat et de discrétion.

Néanmoins, ces places de marché, tout comme les forums du Darknet, sont également remplies d’arnaqueurs vendant des données falsifiées à d’autres acteurs malveillants, ce qui crée le phénomène du « voleur volé ».

Base de données de compte Office 365 divulguée sur un canal Telegram.

Conclusion

La démocratisation de la cybercriminalité via Discord et Telegram a entraîné une expansion du paysage des menaces cyber, qui, il y a dix ans, se concentrait principalement sur les forums et places de marché du Darknet. En tant que passionnés de cybersécurité, ces deux plateformes font désormais partie de notre quotidien, avec leurs aspects positifs et négatifs. Elles ont, d’un côté, facilité le partage de connaissances et renforcé la communauté, mais ont aussi, de l’autre, complexifié notre travail. Nous interagissons quotidiennement avec ces deux applications de messagerie et devons composer avec elles sans attendre d’améliorations drastiques en matière de sécurité de la part de leurs éditeurs respectifs — ce qui semble relever de l’utopie.

Dans une approche proactive, et afin d’alerter ses clients sur les attaques potentielles, le TCS-CERT intègre la surveillance de l’activité des acteurs malveillants sur Telegram via son service « Digital Surveillance », en constante évolution et adaptation face à l’émergence de nouvelles menaces.

Sources

📌 https://www.bitdefender.com/blog/hotforsecurity/discord-tightens-security-with-temporary-file-links/

📌 https://socradar.io/discord-the-new-playground-for-cybercriminals/https://medium.com/s2wblog/deep-analysis-of-redline-stealer-leaked-credential-with-wcf-7b31901da904

📌 https://github.com/fastfire/deepdarkCTIhttps://thehackernews.com/2024/01/ns-stealer-uses-discord-bots-to.html

📌 https://www.trellix.com/blogs/research/java-based-sophisticated-stealer-using-discord-bot-as-eventlistener/https://isc.sans.edu/diary/AgentTesla+Dropped+via+a+daa+Image+and+Talking+to+Telegram/27666/

📌 https://www.linkedin.com/pulse/masad-stealer-exfiltrating-using-telegram-ahmed-osama/

📌 https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_teslahttps://kaduu.io/blog/2023/10/19/the-dark-side-of-discord-an-in-depth-look-into-malware-exploitation/

📌 https://unit42.paloaltonetworks.com/ukraine-cyber-conflict-cve-2021-32648-whispergate/

📌 https://malpedia.caad.fkie.fraunhofer.de/details/win.whispergatehttps://spycloud.com/blog/discord-dark-web/