Cyberguerre a obtenu un faux « générateur de Nitro » distribué sur des serveurs Discord français. Présenté comme un script inoffensif, ce fichier contient en réalité un malware capable de voler toutes sortes de données sur le compte des victimes.

Le 20 mars, Clément* a repéré un appel à l’aide sur un serveur Discord. Une personne expliquait avoir téléchargé un malware, et ne savait pas quoi faire. Si elle a refusé de donner le fichier infecté à Clément, elle lui a cependant communiqué le pseudo de la personne qui l’a infecté : un certain « Bidouffe ».

Bidouffe propose de donner gratuitement un « générateur de Nitro », un logiciel illégal censé générer des codes d’accès à Discord Nitro, la version premium de l’application de discussion. Sans ces codes, le passage à Discord Nitro coûte 9,99 dollars par mois. Les abonnés au service obtiennent quelques avantages techniques (partager son écran avec une meilleure qualité d’image, publier des fichiers plus lourds, « booster » son serveur…), et toutes sortes de bonus esthétiques (emojis, personnalisation du profil…).

Discord est régulièrement visé par des token-grabber. // Source : Ivan Radic/Flickr

Discord offre la possibilité de payer l’abonnement pour un ami, sous la forme d’un code de 19 chiffres à offrir. C’est ce genre de code qu’est censé générer le script, codé en Python, distribué par Bidouille. Le mythe du générateur de Nitro attire réellement les convoitises : il suffit de rentrer « Discord Nitro » sur Google pour voir que les recherches sur ces « générateurs » et d’autres moyens d’en obtenir gratuitement arrivent en tête. D’après Clément, ces codes sont particulièrement recherchés par les utilisateurs les plus jeunes, collégiens et lycéens. Il faut dire que Discord est plus que jamais utilisé, notamment en parallèle de jeux comme le très populaire Among Us.

Lorsque notre contact a reçu le malware envoyé par Bidouffe, il l’a déposé sur Virus Total, une plateforme de Google qui permet de faire scanner le fichier par plus de 57 antivirus. Résultat : seuls deux d’entre eux (Sophos et Eset) le détectaient. Cyberguerre a donc demandé au laboratoire de recherche de l’entreprise Zscaler, qui avait déjà travaillé sur Discord, de l’analyser.

Le token, carte d’identité du compte

Le script de Bidouffe est ce qu’on appelle un « token-grabber » (en français, ce serait un « attrapeur de jeton »), d’après Aditya Sharma, analyste chez Zscaler. Ce genre de malware circule régulièrement sur Discord, et le canevas de base peut se retrouver gratuitement sur des forums illégaux. La version que nous avons fait analyser a quant à elle été personnalisée par Bidouffe lui-même, qui a signé une partie du code. Mais il a, de son propre aveu à Clément, simplement « upgradé » un script existant. Détail important précisé par le malfrat : il faut avoir installé le logiciel Python sur son ordinateur pour pouvoir utiliser son prétendu générateur de Nitro.

Bidouffe donne les fichiers aux personnes qui le contactent en message privé. // Source : Capture d’écran Numerama

Comme son nom l’indique, le token-grabber a pour mission d’attraper le jeton d’authentification de la victime. C’est un identifiant unique de plusieurs dizaines de lettres et de chiffres défini par Discord, qui se cache dans les paramètres du compte. Il sert à identifier plus rapidement l’utilisateur auprès des serveurs de Discord et permet, entre autres, de ne pas avoir à rentrer ses identifiants à chaque connexion.

Si un hacker récupère le contrôle du token d’un utilisateur, il peut usurper l’identité de sa victime auprès de Discord, puisqu’il dispose en quelque sorte de son badge d’accès. Autrement dit, le malfaiteur pourra accéder au compte de la victime, alors même qu’il ne dispose d’aucune information d’authentification. Il n’aura besoin ni de l’email ni du mot de passe. Le token permet également de contourner les protections supplémentaires des comptes, comme l’authentification à deux facteurs.

Un voleur de données viral

« Dans ce cas, l’acteur malveillant va se servir [du token] pour voler les informations du compte Discord de l’utilisateur, et certaines informations de son ordinateur comme l’adresse IP », détaille Aditya Sharma. Automatiquement, le malware va récupérer le pseudo du compte, l’adresse email qui y est liée, le nom de l’ordinateur, sa géolocalisation, mais aussi la liste d’amis, les conversations ou encore les méthodes de paiement de la victime si elle les a enregistrées. C’est probablement cette dernière information que recherche Bidouffe, le distributeur du malware. Il n’a pas répondu à la demande de contact de Cyberguerre sur Discord.

À l’inverse des grands groupes cybercriminels qui ont tendance à collecter des informations pour préparer une attaque d’ampleur, les petits cyberdélinquants sont plutôt à la recherche d’un profit immédiat. Ils veulent obtenir des informations bancaires à exploiter ou des identifiants faciles à vendre, par exemple. Avec ce constat, difficile d’imaginer que Bidouffe et ses éventuels collaborateurs passent au peigne fin les conversations qu’ils récupèrent. Reste que si des identifiants, des informations confidentielles ou des photos dérangeantes s’y trouvent, ils pourraient en théorie les exploiter. Ces informations supplémentaires leur permettraient de dérober d’autres comptes de la victime, ou faire du chantage à la diffusion d’information.

Reste que le token-grabber de Bidouffe n’est pas le plus dangereux du genre, puisque les dégâts qu’il cause se limitent à Discord, là où d’autres peuvent s’immiscer plus profondément sur le PC des victimes. En revanche, le malware pourrait facilement devenir viral : une fois exécuté, il s’envoie automatiquement à tous les contacts Discord de la victime. C’est un problème : les internautes ont tendance à plus facilement cliquer sur un lien louche s’il a été envoyé par une personne qu’ils connaissent. Plus le lien avec cette personne est proche, plus ils lui feront confiance sans prendre de précaution. C’est ce même principe qui a alimenté la récente campagne de phishing virale sur Facebook.

Que faire contre ce token-grabber ?

Si vous pensez avoir téléchargé un token-grabber, suivez ces étapes dans l’ordre :

  • Commencez par supprimer le fichier que vous avez téléchargé ;
  • Désinstallez Discord de votre appareil (vous pourrez le réinstaller après) ;
  • Utilisez un antivirus à jour. Les antivirus ajoutent des méthodes de détection et de nettoyage de ces malwares dès qu’ils sont signalés. Par exemple, si le token-grabber que nous avons récupéré est détecté par 25 antivirus ce 26 mars, alors que seulement 2 le détectaient 6 jours auparavant.
  • Modifiez le mot de passe de votre compte Discord. Vous changerez ainsi de token d’utilisateur, de sorte que celui récupéré par les malfaiteurs sera expiré et donc inexploitable.
  • Si le malware est plus virulent que celui que nous avons décrit, il est possible que vous deviez réinitialiser votre PC.

Crédit photo de la une : Montage Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux