攻击者使用Echelon信息窃取程序将Telegram用户的加密钱包作为目标,旨在欺骗新的或毫无戒心的加密货币用户。他们在一项分析中表示,来自SafeGuardCyber??第七部门威胁分析部门的研究人员在10月份发现了一个Echelon样本,该样本发布在一个以加密货币为重点的Telegram频道上。该活动中使用的恶意软件旨在从多个消息传递和文件共享平台窃取凭证,包括Discord、Edge、FileZilla、OpenVPN、Outlook,甚至Telegram本身,以及许多加密货币钱包,包括AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。据报道,该活动采用了“喷洒和祈祷”模式:“根据恶意软件及其分发方式,SafeGuardCyber??不认为它是协调活动的一部分,而只是针对该渠道的新用户或不熟悉的用户。“研究人员发现,攻击者使用“SmokesNight”句柄在频道上传播Echelon,但尚不清楚传播到何种程度。“该帖子似乎不是对频道中任何相关消息的回应,”他们写道,并补充说该频道的其他用户似乎没有注意到任何可疑或参与其中。然而,研究人员写道,这并不意味着恶意软件没有到达用户的设备。“我们还没有看到任何人对‘吸烟之夜’做出回应或提出投诉,”他们写道,“但这并不能证明该频道的用户没有受到感染。”Telegram消息应用确实已成为网络犯罪活动的黑客温床,他们利用其受欢迎程度和广泛的攻击面,通过使用机器人、恶意账户等方式在平台上传播恶意软件。恶意软件分析攻击者通过名为“present.rar”的.RAR文件将Echelon传送到加密通道,该文件包含三个文件:“pass–123.txt”,一个包含密码的良性文本文档;“DotNetZip.dll”,用于操作.ZIP文件的非恶意类库和工具集,以及Echelon凭据窃取程序的恶意可执行文件“Present.exe”。用.NET编写的有效载荷还包括几个难以检测或分析的功能,包括两个反调试功能,如果检测到调试器或其他恶意软件分析工具,则立即终止进程,并使用开源混淆工具ConfuserEx。研究人员最终成功地对代码进行了去混淆处理,并在发送给Telegram频道用户的Echelon样本的掩护下对其进行了观察。研究人员写道,他们发现它包含域检测,这意味着该样本还将尝试窃取受害者访问过的任何域的数据。报告中包含Echelon样本试图针对的完整平台列表。研究人员写道,该恶意软件的其他功能包括计算机指纹识别,以及截取受害者机器屏幕截图的能力。他们说,从活动中提取的Echelon样本使用压缩的.ZIP文件将凭据和其他被盗数据以及屏幕截图发送回命令和控制服务器。幸运的是,研究人员指出,WindowsDefender检测并删除了带有“#LowFI:HookwowLow”警告的Present.exe恶意可执行样本,从而减轻了Echelon对安装了防病毒软件的用户的潜在损害。.本文翻译自:https://threatpost.com/telegram-steal-crypto-wallet-credentials/177266/如有转载请注明出处。
