I servizi Telegram e Discord integrati rappresentano un terreno fertile per archiviare dati rubati, ospitare malware e utilizzare bot per scopi nefasti.
I criminali informatici stanno sfruttando i servizi integrati di popolari app di messaggistica come Telegram e Discord come piattaforme già pronte per aiutarli a svolgere le loro attività nefaste in campagne persistenti che minacciano gli utenti, hanno scoperto i ricercatori.
Secondo una nuova ricerca di Intel 471, gli autori delle minacce stanno sfruttando la natura multifunzionale delle app di messaggistica, in particolare i componenti di creazione di contenuti e condivisione di programmi, come base per il furto di informazioni.
Nello specifico, utilizzano le app "per ospitare, distribuire ed eseguire varie funzioni che alla fine consentono loro di rubare credenziali o altre informazioni da utenti ignari", hanno scritto i ricercatori in un post sul blog pubblicato martedì.
"Sebbene le app di messaggistica come Discord e Telegram non siano utilizzate principalmente per operazioni aziendali, la loro popolarità, unita all'aumento del lavoro remoto, significa che un criminale informatico ha a sua disposizione una superficie di attacco più ampia rispetto agli anni passati", hanno scritto i ricercatori.
Intel 471 ha identificato tre modi principali in cui gli autori delle minacce sfruttano le funzionalità integrate delle più diffuse app di messaggistica per il proprio tornaconto: archiviando dati rubati, ospitando payload di malware e utilizzando bot che svolgono il lavoro sporco.
Memorizzazione dei dati estratti
Avere una propria rete dedicata e sicura per archiviare i dati rubati a vittime ignare della criminalità informatica può essere costoso e richiedere molto tempo. Invece, gli autori delle minacce utilizzano le funzionalità di archiviazione dei dati di Discord e Telegram come repository per i ladri di informazioni che in realtà dipendono dalle app per questo aspetto della funzionalità, hanno scoperto i ricercatori.
In effetti, un nuovo malware soprannominato Ducktail che ruba dati agli utenti di Facebook Business è stato recentemente visto archiviare dati esfiltrati in un canale Telegram, e non è l'unico.
I ricercatori di Intel 471 hanno osservato un bot noto come X-Files che utilizza i comandi dei bot all'interno di Telegram per rubare e archiviare dati. Una volta che il malware infetta un sistema, gli autori delle minacce possono rubare password, cookie di sessione, credenziali di accesso e dettagli di carte di credito dai browser più diffusi, tra cui Google Chrome, Chromium, Opera, Slimjet e Vivaldi, e quindi depositare le informazioni rubate “in un canale Telegram”. di loro scelta", hanno detto i ricercatori.
Un altro ladro noto come Prynt Stealer funziona in modo simile, ma non ha i comandi Telegram integrati, hanno aggiunto.
Altri ladri utilizzano Discord come piattaforma di messaggistica preferita per archiviare i dati rubati. Un ladro osservato da Intel 471, noto come Blitzed Grabber, utilizza la funzionalità webhook di Discord per depositare i dati sollevati dal malware, inclusi dati di compilazione automatica, segnalibri, cookie del browser, credenziali del client VPN, informazioni sulle carte di pagamento, portafogli di criptovaluta e password, hanno detto i ricercatori. I webhook sono simili alle API in quanto semplificano la trasmissione di messaggi automatizzati e aggiornamenti di dati dal computer di una vittima a un particolare canale di messaggistica.
Blitzed Grabber e altri due ladri osservati utilizzando app di messaggistica per l'archiviazione di dati (Mercurial Grabber e 44Caliber) prendono di mira anche le credenziali per le piattaforme di gioco Minecraft e Roblox, hanno aggiunto i ricercatori.
"Una volta che il malware restituisce le informazioni rubate a Discord, gli attori possono quindi utilizzarle per portare avanti i propri piani o passare a vendere le credenziali rubate nel crimine informatico clandestino", hanno osservato i ricercatori.
Hosting del carico utile
Gli autori delle minacce stanno inoltre sfruttando l'infrastruttura cloud delle app di messaggistica per ospitare servizi più che legittimi: secondo Intel 471, nascondono anche malware nelle profondità.
La rete di distribuzione dei contenuti (CDN) di Discord è stata un terreno particolarmente fertile per l'hosting di malware già nel 2019 perché gli operatori del crimine informatico non hanno restrizioni quando caricano lì i loro payload dannosi per l'hosting di file, hanno osservato i ricercatori.
"I collegamenti sono aperti a qualsiasi utente senza autenticazione, offrendo agli autori delle minacce un dominio web altamente affidabile per ospitare payload dannosi", hanno scritto i ricercatori.
Le famiglie di malware osservate utilizzando Discord CDN per ospitare payload dannosi includono: PrivateLoader, Colibri, RATTO ZONA DI GUERRA, Caricatore di fumo, Agent Tesla stealer e njRAT, tra gli altri.
Utilizzo dei bot per frode
I ricercatori hanno scoperto che i criminali informatici stanno inoltre consentendo ai bot di Telegram di fare molto di più che offrire funzionalità legittime agli utenti. In effetti, Intel 471 ha osservato quello che definisce un “aumento” dei servizi offerti nel crimine informatico clandestino che forniscono accesso a bot in grado di intercettare token OTP (one-time password), che gli attori delle minacce possono utilizzare come armi per frodare gli utenti.
Un bot noto come Astro OTP consente agli autori delle minacce di accedere sia agli OTP che ai codici di verifica dei servizi di messaggistica breve (SMS), hanno osservato i ricercatori. I criminali informatici possono controllare i bot direttamente attraverso l’interfaccia di Telegram eseguendo semplici comandi.
La tariffa attuale per Astro OTP sui forum degli hacker è di 25 dollari per un abbonamento di un giorno o di 300 dollari per un abbonamento a vita, hanno detto i ricercatori.
[Evento su richiesta GRATUITO: Unisciti a Zane Bond di Keeper Security in una tavola rotonda di Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio di casa. GUARDA QUI.]
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://threatpost.com/messaging-apps-cybercriminals/180303/
- :ha
- :È
- :non
- 2019
- 50
- 700
- a
- accesso
- Secondo
- attività
- attori
- effettivamente
- aggiunto
- consentire
- anche
- tra
- an
- ed
- in qualsiasi
- ovunque
- API
- applicazioni
- SONO
- AS
- aspetto
- At
- attacco
- Autenticazione
- Automatizzata
- precedente
- BE
- perché
- stato
- essendo
- maggiore
- Blog
- legame
- segnalibri
- Bot
- entrambi
- bots
- del browser
- cookie del browser
- incassato
- affari
- operazioni affaristiche
- ma
- by
- Bandi
- Responsabile Campagne
- Materiale
- carta
- canale
- scegliere
- la scelta
- Chrome
- cromo
- cliente
- Cloud
- infrastruttura cloud
- codici
- contenuto
- creazione di contenuti
- continua
- di controllo
- Cookies
- costoso
- accoppiato
- Credenziali
- criptovaluta
- portafogli di criptovaluta
- Corrente
- cybercrime
- CIBERCRIMINALE
- i criminali informatici
- dati
- dedicato
- consegna
- dipendere
- deposito
- Depths
- dettagli
- direttamente
- discordia
- smaltimento
- distribuire
- do
- documenti
- effettua
- dominio
- che abilita
- particolarmente
- eseguire
- esecuzione
- fatto
- famiglie
- lontano
- Moda
- caratteristica
- Caratteristiche
- Compila il
- Nel
- forum
- essere trovato
- Fondazione
- da
- funzionalità
- funzioni
- Guadagno
- gaming
- dà
- Dare
- andando
- Google Chrome
- Terra
- degli hacker
- Avere
- Aiuto
- nascondere
- vivamente
- Casa
- Home Office
- host
- di hosting
- Come
- Tutorial
- HTTPS
- identificato
- in
- includere
- Compreso
- info
- informazioni
- INFOSEC
- Infrastruttura
- interno
- invece
- Intel
- Interfaccia
- ai miglioramenti
- IT
- SUO
- Le
- conosciuto
- IMPARARE
- legittimo
- leveraging
- Lifted
- piace
- Collegamento
- accesso
- macchina
- macchine
- il malware
- max-width
- si intende
- messaggio
- messaggi
- di messaggistica
- app di messaggistica
- Minecraft
- Scopri di più
- cambiano
- Natura
- Rete
- New
- Newsletter
- no
- noto
- romanzo
- osservato
- of
- offrire
- Office
- on
- On-Demand
- una volta
- ONE
- esclusivamente
- aprire
- Opera
- Operazioni
- Operatori
- or
- Altro
- Altri
- panoramica
- proprio
- particolare
- particolarmente
- Password
- Le password
- passato
- Pagamento
- Carta di pagamento
- eseguire
- piattaforma
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- popolarità
- principalmente
- fornire
- pubblicato
- fini
- tasso
- preconfezionato
- recentemente
- a distanza
- lavoro a distanza
- rispettabile
- riparazioni
- ricercatori
- restrizioni
- Aumento
- Roblox
- Suddetto
- schemi
- sicuro
- in modo sicuro
- visto
- venda
- delicata
- servizio
- Servizi
- Sessione
- Condividi
- Corti
- simile
- Un'espansione
- semplificare
- da
- sms
- ruba
- rubare
- Tornare al suo account
- sottoscrizione
- superficie
- sistema
- Filettato
- maschiatura
- Target
- Telegram
- di
- che
- Il
- loro
- Li
- poi
- Là.
- di
- questo
- minaccia
- attori della minaccia
- minacciare
- tre
- Attraverso
- richiede tempo
- a
- Tokens
- Martedì
- seconda
- in definitiva
- Aggiornamenti
- Caricamento
- su
- uso
- utilizzato
- utenti
- usa
- utilizzando
- vario
- Convalida
- vittime
- VPN
- Portafogli
- Prima
- modi
- sito web
- Che
- quando
- quale
- con
- senza
- Lavora
- ha scritto
- anni
- Trasferimento da aeroporto a Sharm
- zefiro