研究人员发现,网络犯罪分子正在利用Telegram和Discord等流行消息应用程序的内置服务作为现成平台,以帮助他们在威胁用户的持续活动中执行一些不良活动。
根据英特尔471的最新研究,威胁行为者正在利用消息应用程序的多功能特性——特别是它们的内容创建和程序共享组件——作为信息窃取的基础。
具体来说,他们使用这些应用程序“托管、分发和执行各种功能,最终使他们能够从毫无戒心的用户那里窃取凭据或其他信息,”研究人员在周二发表的一篇博客文章中写道。
研究人员写道:“虽然Discord和Telegram等消息应用程序并非主要用于业务运营,但它们的广泛运用,再加上远程工作的兴起,让网络犯罪分子拥有比过去几年更大的攻击面。”
他们说,英特尔471确定了威胁行为者利用流行消息传递应用程序的内置功能谋取利益的三种关键方式:存储被盗数据、托管恶意软件有效负载以及使用执行其入侵工作的机器人。
存储泄露的数据
使用自己的专用且安全的网络来存储从毫无戒心的网络犯罪受害者那里窃取的数据,可能需要较高的经济成本和时间成本。研究人员发现,威胁参与者正在使用Discord和Telegram的数据存储功能作为信息窃取者的存储库,这些信息窃取者实际上依赖于应用程序来实现这方面的功能。
事实上,最近发现一种名为Ducktail的新型恶意软件从Facebook商业用户那里窃取数据,并将泄露的数据存储在一个Telegram频道中,而且这并非唯一的案例。
他们说,英特尔471的研究人员观察到一个名为X-Files的机器人,它使用Telegram中的机器人命令来窃取和存储数据。一旦恶意软件感染了系统,攻击者就可以从流行的浏览器(包括谷歌浏览器、Chromium、Opera、Slimjet和Vivaldi)上刷取密码、会话cookie、登录凭据和信用卡详细信息,然后将窃取的信息“存入他们选择的Telegram频道”,研究人员说。
他们补充说,另一个被称为Prynt Stealer的窃取程序以类似的方式运行,但没有内置的Telegram命令。
其他窃取者使用Discord作为存储被盗数据的首选消息传递平台。研究人员表示,英特尔471观察到的一个被称为Blitzed Grabber的窃取者使用Discord的webhook功能存储恶意软件提取的数据,包括自动填充数据、书签、浏览器cookie、VPN客户端凭据、支付卡信息、加密货币钱包和密码。Webhook与API类似,因为它们简化了从受害者机器到特定消息通道的自动消息和数据更新的传输。
研究人员补充说,Blitzed Grabber和另外两名使用信息应用程序进行数据存储的盗窃者——Mercurial Grabber和44Calible——也瞄准了Minecraft和Roblox游戏平台的凭据。
研究人员指出:“一旦恶意软件将窃取的信息传回Discord,攻击者就可以使用它来继续他们自己的计划,或者在地下网络犯罪中出售被盗的凭据。”
有效负载托管
据英特尔471称,威胁参与者还利用消息传递应用程序的云基础设施来托管更多合法服务——他们还将恶意软件隐藏在其深处。
研究人员指出,自2019年以来,Discord的内容交付网络(CDN)一直是恶意软件托管的肥沃土壤,因为网络犯罪运营商在上传恶意有效负载以进行文件托管时没有任何限制。
研究人员写道:“这些链接对任何未经身份验证的用户开放,为威胁行为者提供了一个信誉良好的网络域来托管恶意负载。”
观察到使用Discord CDN托管恶意负载的恶意软件系列包括:PrivateLoader、Colibri、Warzone RAT、Smokeloader、Agent Tesla Stealer和njRAT等。
使用机器人进行欺诈
研究人员发现,网络犯罪分子还使Telegram机器人能够做的不仅仅是向用户提供合法功能。事实上,英特尔471已经观察到它所称的针对地下网络犯罪的服务出现了“上升”,这些服务提供了对机器人的访问,这些机器人可以拦截一次性密码令牌,威胁者可以利用这些令牌来欺骗用户。
研究人员观察到,一种名为Astro OTP的机器人使威胁参与者可以访问OTP和短信服务(SMS)验证码。他们说,网络犯罪分子可以通过执行简单的命令直接通过Telegram界面控制机器人。
研究人员表示,目前在黑客论坛上,Astro OTP现行的订阅价格为25美元每天或300美元终身。
本文翻译自:https://threatpost.com/messaging-apps-cybercriminals/180303/如若转载,请注明原文地址。