A beépített Telegram és Discord szolgáltatások termékeny talajt jelentenek az ellopott adatok tárolására, a rosszindulatú programok tárolására és a botok aljas célokra való használatára.
Kutatók megállapították, hogy a kiberbűnözők kész platformként használják a népszerű üzenetküldő alkalmazások, például a Telegram és a Discord beépített szolgáltatásait, hogy segítsenek nekik aljas tevékenységeik végrehajtásában a felhasználókat fenyegető, kitartó kampányokban.
Az Intel 471 új kutatása szerint a fenyegetés szereplői az üzenetküldő alkalmazások sokfunkciós természetét – különösen tartalom-létrehozó és programmegosztó összetevőiket tekintve – kihasználják az információlopás alapjaként.
Pontosabban, az alkalmazásokat „különféle funkciók tárolására, terjesztésére és végrehajtására használják, amelyek végül lehetővé teszik számukra, hogy hitelesítő adatokat vagy egyéb információkat lopjanak el a gyanútlan felhasználóktól” – írták a kutatók. egy blogbejegyzés közzétett kedden.
"Bár az olyan üzenetküldő alkalmazásokat, mint a Discord és a Telegram nem elsősorban üzleti műveletekre használják, népszerűségük a távmunka növekvő számával azt jelenti, hogy a kiberbűnözők nagyobb támadási felülettel rendelkeznek, mint az elmúlt években" - írták a kutatók.
Az Intel 471 három kulcsfontosságú módot azonosított, amelyekben a fenyegetések szereplői a népszerű üzenetküldő alkalmazások beépített funkcióit saját hasznukra hasznosítják: lopott adatok tárolása, rosszindulatú programok tárolása és piszkos munkájukat végző robotok használata.
Kiszűrt adatok tárolása
A számítógépes bûnözés gyanútlan áldozataitól ellopott adatok tárolására szolgáló saját dedikált és biztonságos hálózat költséges és idõigényes lehet. Ehelyett a fenyegetés szereplői a Discord és a Telegram adattárolási funkcióit használják információlopók tárházaként, amelyek valójában az alkalmazásoktól függenek a funkcionalitás ezen aspektusa tekintetében.
Valóban, új rosszindulatú program Ducktail névre keresztelték amely a Facebook Business felhasználóktól adatokat lop, nemrégiben látták, hogy kiszűrt adatokat tárolt egy Telegram csatornán, és messze nem ez az egyetlen.
Az Intel 471 kutatói egy X-Files néven ismert botot figyeltek meg, amely a Telegramon belüli botparancsokat használja adatok ellopására és tárolására. Amint a rosszindulatú program megfertőz egy rendszert, a fenyegetések szereplői lehúzhatják a jelszavakat, a munkamenet-sütiket, a bejelentkezési adatokat és a hitelkártyaadatokat a népszerű böngészőkből – köztük a Google Chrome, a Chromium, az Opera, a Slimjet és a Vivaldi –, majd elhelyezhetik az ellopott információkat „egy Telegram-csatornán”. választottuk” – mondták a kutatók.
Egy másik, Prynt Stealer néven ismert lopó is hasonló módon működik, de nem rendelkezik a beépített Telegram-parancsokkal – tették hozzá.
Más lopók a Discordot használják üzenetküldési platformként az ellopott adatok tárolására. Az Intel 471 által megfigyelt, Blitzed Grabber néven ismert lopó a Discord webhook funkcióját használja a rosszindulatú program által felemelt adatok elhelyezésére, beleértve az automatikus kitöltési adatokat, a könyvjelzőket, a böngésző cookie-kat, a VPN-kliens hitelesítő adatait, a fizetési kártyaadatokat, a kriptovaluta pénztárcákat és a jelszavakat. A webhookok hasonlóak az API-khoz, mivel leegyszerűsítik az automatizált üzenetek és adatfrissítések továbbítását az áldozat gépéről egy adott üzenetküldő csatornára.
A kutatók hozzátették, hogy a Blitzed Grabber és két másik tolvaj – a Mercurial Grabber és a 44Caliber – üzenetküldő alkalmazásokat használ az adatok tárolására.
„Miután a kártevő, amely az információkat lopott vissza a Discordba, a szereplők felhasználhatják saját terveiket, vagy elköltözhetnek, hogy eladják az ellopott hitelesítő adatokat a kiberbűnözés föld alatt” – jegyezték meg a kutatók.
Payload Hosting
Az Intel 471 szerint a fenyegető szereplők az üzenetküldő alkalmazások felhő-infrastruktúráját is kihasználják, hogy a legális szolgáltatásoknál több helyet biztosítsanak – a rosszindulatú programokat is elrejtik a mélységében.
A Discord tartalomszolgáltató hálózata (CDN) már 2019 óta különösen termékeny talajt jelentett a rosszindulatú programok tárolására, mivel a kiberbűnözéssel foglalkozó szolgáltatók nem tesznek semmilyen korlátozást, amikor rosszindulatú rakományaikat fájltárolás céljából feltöltik oda – jegyezték meg a kutatók.
"A linkek minden felhasználó számára nyitva állnak hitelesítés nélkül, így a fenyegetések szereplői jó hírű webdomaint biztosítanak rosszindulatú rakományok tárolására" - írták a kutatók.
A Discord CDN használatával megfigyelt rosszindulatú programcsaládok a következők: PrivateLoader, Colibri, Warzone RAT, füstölő, Tesla ügynök többek között a stealer és az njRAT.
Botok használata csalásra
A kutatók megállapították, hogy a kiberbűnözők arra is felhatalmazzák a Telegram robotokat, hogy többet tegyenek, mint legitim funkciókat kínáljanak a felhasználóknak. Valójában az Intel 471 megfigyelte az általa „uptick”-nek nevezett szolgáltatásokat a kiberbűnözés föld alatti megkorbácsolásával kapcsolatban, amelyek hozzáférést biztosítanak olyan robotokhoz, amelyek képesek elfogni az egyszeri jelszó (OTP) tokeneket. a fenyegetés szereplői fegyvert tudnak állítani a felhasználók megtévesztésére.
A kutatók megfigyelték, hogy az Astro OTP néven ismert bot hozzáférést biztosít a fenyegetés szereplőinek mind az OTP-khez, mind a rövid üzenetküldési szolgáltatás (SMS) ellenőrző kódjaihoz. A kiberbűnözők egyszerű parancsok végrehajtásával közvetlenül a Telegram felületén keresztül irányíthatják a robotokat.
A kutatók szerint az Astro OTP jelenlegi árfolyama a hackerfórumokon 25 USD egynapos vagy 300 USD életre szóló előfizetés esetén.
[INGYENES igény szerinti rendezvény: Csatlakozzon a Keeper Security Zane Bondjához egy Threatpost kerekasztalhoz, és tanulja meg, hogyan érheti el biztonságosan a gépeit bárhonnan, és hogyan oszthat meg bizalmas dokumentumokat otthoni irodájából. Nézze meg ITT.]
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://threatpost.com/messaging-apps-cybercriminals/180303/
- :van
- :is
- :nem
- 2019
- 50
- 700
- a
- hozzáférés
- Szerint
- tevékenység
- szereplők
- tulajdonképpen
- hozzáadott
- lehetővé
- Is
- között
- an
- és a
- bármilyen
- bárhol
- API-k
- alkalmazások
- VANNAK
- AS
- megjelenés
- At
- támadás
- Hitelesítés
- Automatizált
- vissza
- BE
- mert
- óta
- hogy
- nagyobb
- Blog
- kötvény
- könyvjelzők
- Bot
- mindkét
- botok
- böngésző
- böngésző sütik
- beépített
- üzleti
- üzleti műveletek
- de
- by
- kéri
- Kampányok
- TUD
- kártya
- csatorna
- választás
- választja
- króm
- króm
- vásárló
- felhő
- felhő infrastruktúra
- kódok
- tartalom
- tartalomalkotás
- folytatódik
- ellenőrzés
- keksz
- drága
- összekapcsolt
- Hitelesítő adatok
- cryptocurrency
- cryptocurrency pénztárcák
- Jelenlegi
- a számítógépes bűnözés
- KIBERBŰNÖZŐ
- kiberbűnözők
- dátum
- elszánt
- kézbesítés
- függ
- letét
- mélységben
- részletek
- közvetlenül
- viszály
- ártalmatlanítása
- terjeszteni
- do
- dokumentumok
- nem
- domain
- képessé
- különösen
- kivégez
- végrehajtó
- tény
- családok
- messze
- Divat
- Funkció
- Jellemzők
- filé
- A
- fórumok
- talált
- Alapítvány
- ból ből
- funkcionalitás
- funkciók
- Nyereség
- szerencsejáték
- ad
- Giving
- megy
- Google Chrome
- Földi
- hacker
- Legyen
- segít
- elrejt
- nagyon
- Kezdőlap
- Otthoni munkavégzés
- vendéglátó
- tárhely
- Hogyan
- How To
- HTTPS
- azonosított
- in
- tartalmaz
- Beleértve
- info
- információ
- infosec
- Infrastruktúra
- belső
- helyette
- Intel
- Felület
- bele
- IT
- ITS
- Kulcs
- ismert
- TANUL
- jogos
- erőfölény
- felemelte
- mint
- linkek
- Belépés
- gép
- gép
- malware
- max-width
- eszközök
- üzenet
- üzenetek
- üzenetküldés
- üzenetküldő alkalmazások
- Minecraft
- több
- mozog
- Természet
- hálózat
- Új
- Hírlevél
- nem
- neves
- regény
- megfigyelt
- of
- ajánlat
- Office
- on
- Igény szerint
- egyszer
- ONE
- csak
- nyitva
- Opera
- Művelet
- üzemeltetők
- or
- Más
- Egyéb
- áttekintés
- saját
- különös
- különösen
- Jelszó
- jelszavak
- múlt
- fizetés
- Bankkártya
- teljesít
- emelvény
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- népszerűség
- elsősorban
- ad
- közzétett
- célokra
- Arány
- készáru
- nemrég
- távoli
- távoli munka
- jó hírű
- kutatás
- kutatók
- korlátozások
- Emelkedik
- roblox
- Mondott
- rendszerek
- biztonság
- biztosan
- látott
- elad
- érzékeny
- szolgáltatás
- Szolgáltatások
- ülés
- Megosztás
- rövid
- hasonló
- Egyszerű
- egyszerűsítése
- óta
- SMS
- lop
- lopott
- tárolni
- előfizetés
- felületi
- rendszer
- Menetes
- megcsapolás
- cél
- Telegram
- mint
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- ők
- ezt
- fenyegetés
- fenyegetés szereplői
- fenyeget
- három
- Keresztül
- időigényes
- nak nek
- tokenek
- Kedd
- kettő
- Végül
- Frissítés
- Feltöltés
- upon
- használ
- használt
- Felhasználók
- használ
- segítségével
- különféle
- Igazolás
- áldozatok
- VPN
- Pénztárcák
- volt
- módon
- háló
- Mit
- amikor
- ami
- val vel
- nélkül
- Munka
- írt
- év
- A te
- zephyrnet