消息應(yīng)用程序被用作網(wǎng)絡(luò)犯罪活動的平臺

我們會有自己的貓
根據(jù)英特爾471的最新研究,威脅行為者正在利用消息應(yīng)用程序的多功能特性——特別是它們的內(nèi)容創(chuàng)建和程序共享組件——作為信息竊取的基礎(chǔ)。

QQ截圖20220104093506.png

本文來自嘶吼網(wǎng)。

研究人員發(fā)現(xiàn),網(wǎng)絡(luò)犯罪分子正在利用Telegram和Discord等流行消息應(yīng)用程序的內(nèi)置服務(wù)作為現(xiàn)成平臺,以幫助他們在威脅用戶的持續(xù)活動中執(zhí)行一些不良活動。

根據(jù)英特爾471的最新研究,威脅行為者正在利用消息應(yīng)用程序的多功能特性——特別是它們的內(nèi)容創(chuàng)建和程序共享組件——作為信息竊取的基礎(chǔ)。

具體來說,他們使用這些應(yīng)用程序“托管、分發(fā)和執(zhí)行各種功能,最終使他們能夠從毫無戒心的用戶那里竊取憑據(jù)或其他信息,”研究人員在周二發(fā)表的一篇博客文章中寫道。

研究人員寫道:“雖然Discord和Telegram等消息應(yīng)用程序并非主要用于業(yè)務(wù)運營,但它們的廣泛運用,再加上遠(yuǎn)程工作的興起,讓網(wǎng)絡(luò)犯罪分子擁有比過去幾年更大的攻擊面。”

他們說,英特爾471確定了威脅行為者利用流行消息傳遞應(yīng)用程序的內(nèi)置功能謀取利益的三種關(guān)鍵方式:存儲被盜數(shù)據(jù)、托管惡意軟件有效負(fù)載以及使用執(zhí)行其入侵工作的機器人。

存儲泄露的數(shù)據(jù)

使用自己的專用且安全的網(wǎng)絡(luò)來存儲從毫無戒心的網(wǎng)絡(luò)犯罪受害者那里竊取的數(shù)據(jù),可能需要較高的經(jīng)濟成本和時間成本。研究人員發(fā)現(xiàn),威脅參與者正在使用Discord和Telegram的數(shù)據(jù)存儲功能作為信息竊取者的存儲庫,這些信息竊取者實際上依賴于應(yīng)用程序來實現(xiàn)這方面的功能。

事實上,最近發(fā)現(xiàn)一種名為Ducktail的新型惡意軟件從Facebook商業(yè)用戶那里竊取數(shù)據(jù),并將泄露的數(shù)據(jù)存儲在一個Telegram頻道中,而且這并非唯一的案例。

他們說,英特爾471的研究人員觀察到一個名為X-Files的機器人,它使用Telegram中的機器人命令來竊取和存儲數(shù)據(jù)。一旦惡意軟件感染了系統(tǒng),攻擊者就可以從流行的瀏覽器(包括谷歌瀏覽器、Chromium、Opera、Slimjet和Vivaldi)上刷取密碼、會話cookie、登錄憑據(jù)和信用卡詳細(xì)信息,然后將竊取的信息“存入他們選擇的Telegram頻道”,研究人員說。

他們補充說,另一個被稱為Prynt Stealer的竊取程序以類似的方式運行,但沒有內(nèi)置的Telegram命令。

其他竊取者使用Discord作為存儲被盜數(shù)據(jù)的首選消息傳遞平臺。研究人員表示,英特爾471觀察到的一個被稱為Blitzed Grabber的竊取者使用Discord的webhook功能存儲惡意軟件提取的數(shù)據(jù),包括自動填充數(shù)據(jù)、書簽、瀏覽器cookie、VPN客戶端憑據(jù)、支付卡信息、加密貨幣錢包和密碼。Webhook與API類似,因為它們簡化了從受害者機器到特定消息通道的自動消息和數(shù)據(jù)更新的傳輸。

研究人員補充說,Blitzed Grabber和另外兩名使用信息應(yīng)用程序進(jìn)行數(shù)據(jù)存儲的盜竊者——Mercurial Grabber和44Calible——也瞄準(zhǔn)了Minecraft和Roblox游戲平臺的憑據(jù)。

研究人員指出:“一旦惡意軟件將竊取的信息傳回Discord,攻擊者就可以使用它來繼續(xù)他們自己的計劃,或者在地下網(wǎng)絡(luò)犯罪中出售被盜的憑據(jù)。”

有效負(fù)載托管

據(jù)英特爾471稱,威脅參與者還利用消息傳遞應(yīng)用程序的云基礎(chǔ)設(shè)施來托管更多合法服務(wù)——他們還將惡意軟件隱藏在其深處。

研究人員指出,自2019年以來,Discord的內(nèi)容交付網(wǎng)絡(luò)(CDN)一直是惡意軟件托管的肥沃土壤,因為網(wǎng)絡(luò)犯罪運營商在上傳惡意有效負(fù)載以進(jìn)行文件托管時沒有任何限制。

研究人員寫道:“這些鏈接對任何未經(jīng)身份驗證的用戶開放,為威脅行為者提供了一個信譽良好的網(wǎng)絡(luò)域來托管惡意負(fù)載。”

觀察到使用Discord CDN托管惡意負(fù)載的惡意軟件系列包括:PrivateLoader、Colibri、Warzone RAT、Smokeloader、Agent Tesla Stealer和njRAT等。

使用機器人進(jìn)行欺詐

研究人員發(fā)現(xiàn),網(wǎng)絡(luò)犯罪分子還使Telegram機器人能夠做的不僅僅是向用戶提供合法功能。事實上,英特爾471已經(jīng)觀察到它所稱的針對地下網(wǎng)絡(luò)犯罪的服務(wù)出現(xiàn)了“上升”,這些服務(wù)提供了對機器人的訪問,這些機器人可以攔截一次性密碼令牌,威脅者可以利用這些令牌來欺騙用戶。

研究人員觀察到,一種名為Astro OTP的機器人使威脅參與者可以訪問OTP和短信服務(wù)(SMS)驗證碼。他們說,網(wǎng)絡(luò)犯罪分子可以通過執(zhí)行簡單的命令直接通過Telegram界面控制機器人。

研究人員表示,目前在黑客論壇上,Astro OTP現(xiàn)行的訂閱價格為25美元每天或300美元終身。

本文翻譯自:https://threatpost.com/messaging-apps-cybercriminals/180303/

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門

精選文章

熱點資訊