Sisseehitatud Telegrami ja Discordi teenused on soodne pinnas varastatud andmete salvestamiseks, pahavara majutamiseks ja robotite kasutamiseks pahatahtlikel eesmärkidel.
Uurijad on leidnud, et küberkurjategijad kasutavad valmisplatvormidena populaarsete sõnumsiderakenduste, nagu Telegram ja Discord, sisseehitatud teenuseid, et aidata neil sooritada oma alatuid tegevusi püsivates kampaaniates, mis kasutajaid ohustavad.
Intel 471 uute uuringute kohaselt kasutavad ohutegijad sõnumsiderakenduste mitmefunktsioonilist olemust – eelkõige nende sisu loomise ja programmide jagamise komponente – teabe varastamise alusena.
Täpsemalt, nad kasutavad rakendusi "mitmesuguste funktsioonide majutamiseks, levitamiseks ja täitmiseks, mis lõpuks võimaldavad neil pahaaimamatutelt kasutajatelt mandaate või muud teavet varastada", kirjutasid teadlased. blogi postitus avaldatud teisipäeval.
"Kuigi selliseid sõnumsiderakendusi nagu Discord ja Telegram ei kasutata peamiselt äritegevuseks, tähendab nende populaarsus koos kaugtöö suurenemisega küberkurjategijate käsutuses suuremat rünnakupinda kui varasematel aastatel," kirjutasid teadlased.
Intel 471 tuvastas kolm peamist viisi, kuidas ohus osalejad kasutavad populaarsete sõnumsiderakenduste sisseehitatud funktsioone enda kasuks: varastatud andmete salvestamine, pahavara kasulike koormuste majutamine ja nende musta tööd tegevate robotite kasutamine.
Eksfiltreeritud andmete salvestamine
Oma spetsiaalse ja turvalise võrgu omamine pahaaimamatutelt küberkuritegevuse ohvritelt varastatud andmete salvestamiseks võib olla kulukas ja aeganõudev. Teadlased on leidnud, et selle asemel kasutavad ohutegijad Discordi ja Telegrami andmesalvestusfunktsioone teabevarastajate hoidlatena, mis tegelikult sõltuvad selle funktsionaalsuse aspekti rakendustest.
Tõepoolest, uudne pahavara nimega Ducktail mis varastab andmeid Facebooki ärikasutajatelt, nähti hiljuti telegrammi kanalis väljafiltreeritud andmeid talletamas ja see pole kaugeltki ainus.
Intel 471 teadlased jälgisid robotit, mida tuntakse X-Filesi nime all ja mis kasutab andmete varastamiseks ja salvestamiseks Telegramis olevaid robotikäske. Kui pahavara süsteemi nakatab, saavad ohus osalejad pühkida populaarsete brauserite (sh Google Chrome, Chromium, Opera, Slimjet ja Vivaldi) paroolid, seansiküpsised, sisselogimismandaadid ja krediitkaardiandmed ning seejärel salvestada varastatud teabe Telegrami kanalile. nende valikul," ütlesid teadlased.
Teine varastaja, mida tuntakse kui Prynt Stealer, töötab sarnaselt, kuid sellel pole sisseehitatud Telegrami käske, lisasid nad.
Teised vargused kasutavad varastatud andmete salvestamiseks valitud sõnumsideplatvormina Discordi. Üks Intel 471 jälgitud varastaja, tuntud kui Blitzed Grabber, kasutab Discordi veebihaagide funktsiooni, et salvestada pahavara poolt eemaldatud andmeid, sealhulgas automaatse täitmise andmed, järjehoidjad, brauseri küpsised, VPN-kliendi mandaadid, maksekaarditeave, krüptovaluuta rahakotid ja paroolid. Veebihaagid sarnanevad API-dega, kuna need lihtsustavad automaatsete sõnumite ja andmevärskenduste edastamist ohvri masinast teatud sõnumikanalisse.
Teadlased lisasid, et Blitzed Grabber ja veel kaks varast, kes kasutasid andmete salvestamiseks sõnumsiderakendusi – Mercurial Grabber ja 44Caliber – sihivad ka Minecrafti ja Robloxi mänguplatvormide mandaate.
"Kui pahavara, mis varastas teabe, Discordi tagasi sülitab, saavad näitlejad seda kasutada oma skeemide jätkamiseks või varastatud volikirjade müümiseks küberkuritegevuse maa all," märkisid teadlased.
Kasuliku koormuse hostimine
Ohutegijad kasutavad ka sõnumsiderakenduste pilveinfrastruktuuri, et majutada rohkem kui seaduslikke teenuseid – Intel 471 andmetel peidavad nad ka pahavara selle sügavustesse.
Discordi sisuedastusvõrk (CDN) on olnud pahavara majutamiseks eriti viljakas pinnas juba alates 2019. aastast, kuna küberkuritegevuse operaatorid ei sea oma pahatahtliku koormuse sinna failimajutamiseks üles laadimisel mingeid piiranguid, märkisid teadlased.
"Lingid on avatud kõigile ilma autentimiseta kasutajatele, andes ohus osalejatele väga hea mainega veebidomeeni pahatahtlike kasulike koormuste majutamiseks," kirjutasid teadlased.
Discord CDN-i pahatahtlike koormuste hostimiseks kasutavate pahavaraperekondade hulka kuuluvad: PrivateLoader, Colibri, Warzone RAT, suitsulaadur, Agent Tesla muu hulgas stealer ja njRAT.
Bottide kasutamine pettusteks
Uurijad leidsid, et küberkurjategijad annavad Telegrami robotitele enamat kui vaid kasutajatele seaduslike funktsioonide pakkumist. Tegelikult on Intel 471 täheldanud küberkuritegevuse maa-alustes piitsutavates teenustes nn tõusu, mis pakuvad juurdepääsu robotitele, mis suudavad kinni püüda ühekordse parooli (OTP) märke. ohustajad saavad relvastada kasutajate petmiseks.
Teadlased märkisid, et üks Astro OTP-na tuntud robot annab ohus osalejatele juurdepääsu nii OTP-dele kui ka lühisõnumiteenuse (SMS) kinnituskoodidele. Küberkurjategijad saavad roboteid juhtida otse Telegrami liidese kaudu, täites lihtsaid käske, ütlesid nad.
Teadlaste sõnul on Astro OTP praegune kurss häkkerite foorumites 25 USA dollarit ühepäevase tellimuse eest või 300 USA dollarit eluaegse tellimuse eest.
[Soovi korral TASUTA üritus: Liituge Keeper Security Zane Bondiga Threatposti ümarlaual ja õppige, kuidas pääseda kõikjalt turvaliselt juurde oma masinatele ja jagada tundlikke dokumente oma kodukontorist. VAATA SIIN.]
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://threatpost.com/messaging-apps-cybercriminals/180303/
- :on
- :on
- :mitte
- 2019
- 50
- 700
- a
- juurdepääs
- Vastavalt
- tegevus
- osalejad
- tegelikult
- lisatud
- võimaldama
- Ka
- vahel
- an
- ja
- mistahes
- kuskil
- API-liidesed
- apps
- OLEME
- AS
- aspekt
- At
- rünnak
- Autentimine
- Automatiseeritud
- tagasi
- BE
- sest
- olnud
- on
- suurem
- Blogi
- võlakiri
- järjehoidjad
- Bot
- mõlemad
- eest
- brauseri
- brauseri küpsised
- sisseehitatud
- äri
- äritegevus
- kuid
- by
- Kutsub
- Kampaaniad
- CAN
- kaart
- Kanal
- valik
- valimine
- Kroom
- kroom
- klient
- Cloud
- pilve infrastruktuur
- koodid
- sisu
- sisu loomine
- jätkama
- kontrollida
- küpsised
- kulukas
- seotud
- volikiri
- cryptocurrency
- krüptovaluuta rahakotid
- Praegune
- Küberkuritegevus
- KÜBERKRIMINAAL
- küberkurjategijad
- andmed
- pühendunud
- tarne
- sõltuvad
- hoius
- Sügavused
- detailid
- otse
- ebakõla
- kõrvaldamine
- levitada
- do
- dokumendid
- ei
- domeen
- volitamine
- eriti
- täitma
- hukkamine
- asjaolu
- peredele
- kaugele
- mood
- tunnusjoon
- FUNKTSIOONID
- fail
- eest
- Foorumid
- avastatud
- Sihtasutus
- Alates
- funktsionaalsus
- funktsioonid
- kasu
- mäng
- annab
- andmine
- läheb
- Google Chrome
- Maa
- häkker
- Olema
- aitama
- varjama
- kõrgelt
- Avaleht
- Home Office
- võõrustaja
- Hosting
- Kuidas
- Kuidas
- HTTPS
- tuvastatud
- in
- sisaldama
- Kaasa arvatud
- info
- info
- infosek
- Infrastruktuur
- sees
- selle asemel
- Intel
- Interface
- sisse
- IT
- ITS
- Võti
- teatud
- Õppida
- õigustatud
- võimendav
- Tõsta
- nagu
- lingid
- Logi sisse
- masin
- masinad
- malware
- max laiuse
- vahendid
- sõnum
- kirjad
- Sõnumid
- sõnumside rakendused
- Minecraft
- rohkem
- liikuma
- loodus
- võrk
- Uus
- Uudiskiri
- ei
- märkida
- romaan
- vaadeldud
- of
- pakkuma
- Office
- on
- On-Demand
- kunagi
- ONE
- ainult
- avatud
- Opera
- Operations
- ettevõtjad
- or
- Muu
- teised
- ülevaade
- enda
- eriline
- eriti
- Parool
- paroolid
- minevik
- makse
- Maksekaart
- täitma
- inimesele
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- populaarsus
- eelkõige
- anda
- avaldatud
- eesmärkidel
- määr
- valmis
- hiljuti
- kauge
- kaugtöö
- lugupeetud
- teadustöö
- Teadlased
- piirangud
- Tõusma
- Roblox
- Ütlesin
- skeemid
- kindlustama
- kindlalt
- nähtud
- müüma
- tundlik
- teenus
- Teenused
- istung
- Jaga
- Lühike
- sarnane
- lihtne
- lihtsustama
- alates
- SMS
- varastatakse
- varastatud
- salvestada
- tellimine
- Pind
- süsteem
- Koputatakse
- koputades
- sihtmärk
- Telegramm
- kui
- et
- .
- oma
- Neile
- SIIS
- Seal.
- nad
- see
- oht
- ohus osalejad
- ähvardab
- kolm
- Läbi
- aega võttev
- et
- märgid
- Teisipäev
- kaks
- lõpuks
- Uudised
- Üleslaadimine
- peale
- kasutama
- Kasutatud
- Kasutajad
- kasutusalad
- kasutamine
- eri
- Kontrollimine
- ohvreid
- VPN
- Rahakotid
- oli
- kuidas
- web
- M
- millal
- mis
- koos
- ilma
- Töö
- kirjutas
- aastat
- Sinu
- sephyrnet