Discord passera à des liens CDN temporaires pour tous les utilisateurs d’ici la fin de l’année afin d’empêcher les attaquants d’utiliser son réseau de diffusion de contenu pour diffuser des logiciels malveillants.
« Discord fait évoluer son approche des URL CDN de pièces jointes afin de créer une expérience plus sûre et plus sécurisée pour les utilisateurs. En particulier, cela aidera notre équipe de sécurité à restreindre l’accès au contenu signalé et, de manière générale, à réduire la quantité de logiciels malveillants distribués à l’aide de notre CDN. » Discord a déclaré à BleepingComputer.
« Il n’y a aucun impact pour les utilisateurs de Discord qui partagent du contenu au sein du client Discord. Tous les liens au sein du client seront automatiquement actualisés. Si les utilisateurs utilisent Discord pour héberger des fichiers, nous leur recommandons de trouver un service plus approprié.
« Les développeurs Discord pourraient constater un impact minime et nous travaillons en étroite collaboration avec la communauté sur la transition. Ces changements seront déployés plus tard cette année et nous partagerons plus d’informations avec les développeurs dans les semaines à venir. »
Après le déploiement du changement d’hébergement de fichiers (décrit par Discord comme une application de l’authentification) plus tard cette année, tous les liens vers les fichiers téléchargés sur les serveurs Discord expireront après 24 heures.
Les URL CDN seront accompagnées de trois nouveaux paramètres qui ajouteront des horodatages d’expiration et des signatures uniques qui resteront valides jusqu’à l’expiration des liens, empêchant ainsi l’utilisation du CDN de Discord pour l’hébergement permanent de fichiers.
Bien que ces paramètres soient déjà ajoutés aux liens Discord, ils doivent encore être appliqués, et les liens partagés en dehors des serveurs Discord n’expireront qu’une fois que l’entreprise aura déployé ses modifications d’application de l’authentification.
« Pour améliorer la sécurité du CDN de Discord, les URL CDN des pièces jointes ont 3 nouveaux paramètres d’URL : ex, estet hum. Une fois que l’application de l’authentification commencera plus tard cette année, les liens avec une signature donnée (hum) restera valide jusqu’à l’horodatage d’expiration (ex) », a expliqué l’équipe de développement de Discord dans un message partagé sur le serveur Discord Developers.
« Pour accéder au lien CDN de la pièce jointe après l’expiration du lien, votre application devra récupérer une nouvelle URL CDN. L’API renverra automatiquement des URL valides et non expirées lorsque vous accédez à des ressources contenant une URL CDN de pièce jointe, comme lors de la récupération d’un message. « .
Un pas de géant dans la lutte contre les malwares
Il s’agit d’une avancée très attendue face aux défis constants auxquels Discord est confronté dans la lutte contre les activités de cybercriminalité sur sa plate-forme, étant donné que ses serveurs ont longtemps servi de terrain fertile pour les activités malveillantes associées à des groupes de piratage motivés financièrement et soutenus par l’État.
Les capacités d’hébergement permanent de fichiers de Discord ont souvent été utilisées à mauvais escient pour distribuer des logiciels malveillants et exfiltrer les données collectées à partir de systèmes compromis à l’aide de webhooks.
Malgré l’ampleur croissante de ce problème ces dernières années, Discord a jusqu’à présent eu du mal à mettre en œuvre des mesures efficaces pour dissuader les cybercriminels d’abuser de sa plateforme et résoudre le problème de manière décisive ou, à tout le moins, limiter son impact.
Selon un récent rapport de la société de cybersécurité Trellix, les URL Discord CDN ont été exploitées par au moins 10 000 opérations de logiciels malveillants pour supprimer les charges utiles malveillantes de deuxième étape sur les systèmes infectés.
Ces charges utiles sont principalement constituées de chargeurs de logiciels malveillants et de scripts qui installent des logiciels malveillants, tels que le voleur RedLine, Vidar, AgentTesla, zgRAT et le voleur Raccoon.
Selon les données de Trellix, diverses familles de logiciels malveillants, notamment Agent Tesla, UmbralStealer, Stealerium et zgRAT, ont également utilisé les webhooks Discord au cours des dernières années pour voler des informations sensibles telles que des informations d’identification, des cookies de navigateur et des portefeuilles de crypto-monnaie sur des appareils compromis.