研究人员发现,网络犯罪分子正在使用Telegram和Discord等流行消息应用程序中的内置服务作为现成平台来帮助他们执行一些不良活动。根据Intel471的最新研究,威胁行为者正在利用消息传递应用程序的多功能特性——特别是它们的内容创建和程序共享组件——作为信息窃取的基础。具体来说,他们使用这些应用程序“托管、分发和执行各种功能,最终允许他们从毫无戒心的用户那里窃取凭证或其他信息,”研究人员在周二发表的一篇博客文章中写道。.研究人员写道:“虽然Discord和Telegram等消息应用程序并非主要用于业务运营,但它们的广泛使用,加上远程工作的兴起,使网络犯罪分子的攻击面比过去几年更大。”他们说,英特尔471确定了威胁行为者利用流行消息应用程序的内置功能为自己谋取利益的三种主要方式:通过存储被盗数据、托管恶意软件有效负载以及使用执行入侵工作的机器人。存储受损数据使用您自己的专用安全网络来存储从毫无戒心的网络犯罪受害者那里窃取的数据,无论是在经济上还是在时间上都可能代价高昂。研究人员发现,威胁行为者正在使用Discord和Telegram的数据存储功能作为信息窃取者的存储库,这些信息窃取者实际上依赖应用程序的功能。事实上,最近发现一种名为Ducktail的新型恶意软件从Facebook商业用户那里窃取数据并将泄露的数据存储在Telegram频道中,这并不是唯一的案例。他们说,英特尔471的研究人员观察到一个名为X-Files的机器人,它使用Telegram中的机器人命令来窃取和存储数据。一旦恶意软件感染了系统,攻击者就可以从流行的浏览器(包括GoogleChrome、Chromium、Opera、Slimjet和Vivaldi)中刷取密码、会话cookie、登录凭据和信用卡详细信息,然后将窃取的信息传输到“存储在一个他们选择的电报频道,”研究人员说。他们补充说,另一个名为PryntStealer的窃取者以类似的方式运作,但没有内置Telegram命令。其他窃贼使用Discord作为存储被盗数据的首选消息传递平台。研究人员表示,英特尔471观察到一个名为BlitzedGrabber的窃取者使用Discord的网络钩子功能来存储恶意软件提取的数据,包括自动填充数据、书签、浏览器cookie、VPN客户端凭证、支付卡信息。加密货币钱包和密码。Webhooks类似于API,因为它们简化了自动消息和数据更新从受害机器到特定消息通道的传输。研究人员补充说,BlitzedGrabber和另外两名使用消息传递应用程序进行数据存储的窃贼——MercurialGrabber和44Calible——也瞄准了Minecraft和Roblox游戏平台的凭据。研究人员指出:“一旦恶意软件将窃取的信息传回Discord,攻击者就可以使用它来继续他们自己的计划或在地下网络犯罪分子中出售窃取的凭据。”有效负载托管根据Intel471的说法,威胁行为者还利用消息传递应用程序的云基础设施来托管更多合法服务——他们还在其中隐藏了恶意软件。研究人员指出,自2019年以来,Discord的内容分发网络(CDN)一直是恶意软件托管的沃土,因为网络犯罪运营商对上传用于文件托管的恶意负载没有任何限制。研究人员写道:“这些链接对任何未经身份验证的用户开放,为威胁行为者提供了一个信誉良好的网络域来托管恶意负载。”使用DiscordCDN托管恶意负载的恶意软件系列包括:PrivateLoader、Colibri、WarzoneRAT、Smokeloader、AgentTeslaStealer、njRAT等合法的功能。事实上,英特尔471已经观察到它所谓的针对地下网络犯罪分子的服务“增加”,这些服务提供对机器人的访问,这些机器人可以拦截一次性密码令牌,威胁行为者可以利用这些令牌来欺骗用户。研究人员观察到,一个名为AstroOTP的机器人为威胁行为者提供了访问OTP和短信服务(SMS)验证码的权限。他们说,网络罪犯可以通过Telegram界面执行简单命令直接控制机器人。目前,AstroOTP目前在黑客论坛上的订阅价格是每天25美元或终身300美元,研究人员说。本文翻译自:https://threatpost.com/messaging-apps-cybercriminals/180303/如有转载请注明出处。
