Os serviços integrados de Telegram e Discord são um terreno fértil para armazenar dados roubados, hospedar malware e usar bots para fins nefastos.
Os cibercriminosos estão utilizando os serviços integrados de aplicativos de mensagens populares como Telegram e Discord como plataformas prontas para ajudá-los a realizar suas atividades nefastas em campanhas persistentes que ameaçam os usuários, descobriram os pesquisadores.
Os agentes de ameaças estão aproveitando a natureza multifuncional dos aplicativos de mensagens – especialmente seus componentes de criação de conteúdo e compartilhamento de programas – como base para o roubo de informações, de acordo com uma nova pesquisa da Intel 471.
Especificamente, eles usam os aplicativos “para hospedar, distribuir e executar várias funções que lhes permitem roubar credenciais ou outras informações de usuários desavisados”, escreveram os pesquisadores em um post de blog publicado terça-feira.
“Embora aplicativos de mensagens como Discord e Telegram não sejam usados principalmente para operações comerciais, sua popularidade, juntamente com o aumento do trabalho remoto, significa que um cibercriminoso tem uma superfície de ataque maior à sua disposição do que nos anos anteriores”, escreveram os pesquisadores.
A Intel 471 identificou três maneiras principais pelas quais os agentes de ameaças estão aproveitando os recursos integrados de aplicativos de mensagens populares para seu próprio ganho: armazenando dados roubados, hospedando cargas de malware e usando bots que realizam seu trabalho sujo, disseram eles.
Armazenamento de dados exfiltrados
Ter uma rede própria, dedicada e segura para armazenar dados roubados de vítimas inocentes de crimes cibernéticos pode ser caro e demorado. Em vez disso, os agentes de ameaças estão usando recursos de armazenamento de dados do Discord e do Telegram como repositórios para ladrões de informações que, na verdade, dependem dos aplicativos para esse aspecto da funcionalidade, descobriram os pesquisadores.
Na verdade, novos malwares apelidado de rabo de pato que rouba dados de usuários do Facebook Business foi visto recentemente armazenando dados exfiltrados em um canal do Telegram, e está longe de ser o único.
Pesquisadores da Intel 471 observaram um bot conhecido como X-Files que usa comandos de bot dentro do Telegram para roubar e armazenar dados, disseram. Depois que o malware infecta um sistema, os agentes da ameaça podem roubar senhas, cookies de sessão, credenciais de login e detalhes de cartão de crédito de navegadores populares – incluindo Google Chrome, Chromium, Opera, Slimjet e Vivaldi – e então depositar essas informações roubadas “em um canal do Telegram”. de sua escolha”, disseram os pesquisadores.
Outro ladrão conhecido como Prynt Stealer funciona de maneira semelhante, mas não possui os comandos integrados do Telegram, acrescentaram.
Outros ladrões usam o Discord como plataforma de mensagens preferida para armazenar dados roubados. Um ladrão observado pela Intel 471, conhecido como Blitzed Grabber, usa o recurso webhooks do Discord para depositar dados obtidos pelo malware, incluindo dados de preenchimento automático, marcadores, cookies do navegador, credenciais de clientes VPN, informações de cartões de pagamento, carteiras e senhas de criptomoedas, disseram os pesquisadores. Os webhooks são semelhantes às APIs, pois simplificam a transmissão de mensagens automatizadas e atualizações de dados da máquina da vítima para um canal de mensagens específico.
Blitzed Grabber e dois outros ladrões observados usando aplicativos de mensagens para armazenamento de dados – Mercurial Grabber e 44Caliber – também visam credenciais para as plataformas de jogos Minecraft e Roblox, acrescentaram os pesquisadores.
“Depois que o malware cospe as informações roubadas de volta no Discord, os atores podem usá-las para continuar seus próprios esquemas ou vender as credenciais roubadas no submundo do crime cibernético”, observaram os pesquisadores.
Hospedagem de carga útil
Os agentes de ameaças também estão aproveitando a infraestrutura em nuvem dos aplicativos de mensagens para hospedar mais do que serviços legítimos – eles também escondem malware em suas profundezas, de acordo com a Intel 471.
A rede de entrega de conteúdo (CDN) do Discord tem sido um terreno especialmente fértil para hospedagem de malware desde 2019, porque os operadores de crimes cibernéticos não impõem restrições ao enviar suas cargas maliciosas para hospedagem de arquivos, observaram os pesquisadores.
“Os links são abertos a qualquer usuário sem autenticação, dando aos atores da ameaça um domínio da web altamente confiável para hospedar cargas maliciosas”, escreveram os pesquisadores.
As famílias de malware observadas usando Discord CDN para hospedar cargas maliciosas incluem: PrivateLoader, Colibri, RATO de zona de guerra, Carregador de fumaça, Agent Tesla ladrão e njRAT, entre outros.
Usando Bots para Fraude
Os cibercriminosos também estão capacitando os bots do Telegram para fazer mais do que oferecer recursos legítimos aos usuários, descobriram os pesquisadores. Na verdade, a Intel 471 observou o que chama de “aumento” nos serviços açoitados no submundo do crime cibernético que fornecem acesso a bots que podem interceptar tokens de senha de uso único (OTP), que atores de ameaças podem usar armas para fraudar usuários.
Um bot conhecido como Astro OTP dá aos agentes de ameaças acesso a OTPs e códigos de verificação de serviço de mensagens curtas (SMS), observaram os pesquisadores. Os cibercriminosos podem controlar os bots diretamente através da interface do Telegram, executando comandos simples, disseram.
A taxa atual do Astro OTP em fóruns de hackers é de US$ 25 para uma assinatura de um dia ou US$ 300 para uma assinatura vitalícia, disseram os pesquisadores.
[Evento sob demanda GRATUITO: Junte-se ao Zane Bond da Keeper Security em uma mesa redonda Threatpost e aprenda como acessar suas máquinas com segurança de qualquer lugar e compartilhar documentos confidenciais de seu escritório em casa. ASSISTA AQUI.]
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://threatpost.com/messaging-apps-cybercriminals/180303/
- :tem
- :é
- :não
- 2019
- 50
- 700
- a
- Acesso
- Segundo
- atividade
- atores
- adicionado
- permitir
- tb
- entre
- an
- e
- qualquer
- qualquer lugar
- APIs
- Aplicativos
- SOMOS
- AS
- aspecto
- At
- ataque
- Autenticação
- Automatizado
- em caminho duplo
- BE
- Porque
- sido
- ser
- maior
- Blog
- vínculo
- bookmarks
- Bot
- ambos
- bots
- navegador
- cookies do navegador
- construídas em
- negócio
- operações de negócio
- mas a
- by
- chamadas
- Campanhas
- CAN
- cartão
- Canal
- escolha
- escolha
- Chrome
- crômio
- cliente
- Na nuvem
- infraestrutura de nuvem
- códigos
- conteúdo
- Criação de conteúdo
- continuar
- ao controle
- bolinhos
- dispendioso
- acoplado
- Credenciais
- criptomoedas
- carteiras de criptomoeda
- Atual
- cibercrime
- CIBERCRIMINAL
- cibercriminosos
- dados,
- dedicado
- Entrega
- depender
- depositar
- Abismo
- detalhes
- diretamente
- discórdia
- disposição
- distribuir
- do
- INSTITUCIONAIS
- parece
- domínio
- capacitação
- especialmente
- executar
- executando
- fato
- famílias
- longe
- Moda
- Característica
- Funcionalidades
- Envie o
- Escolha
- fóruns
- encontrado
- Foundation
- da
- funcionalidade
- funções
- Ganho
- jogos
- dá
- Dando
- vai
- Google Chrome
- Solo
- cabouqueiro
- Ter
- ajudar
- Esconder
- altamente
- Início
- Home Office
- hospedeiro
- hospedagem
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- identificado
- in
- incluir
- Incluindo
- info
- INFORMAÇÕES
- infosec
- Infraestrutura
- dentro
- em vez disso
- Intel
- Interface
- para dentro
- IT
- ESTÁ
- Chave
- conhecido
- APRENDER
- legítimo
- aproveitando
- Levantado
- como
- Links
- entrar
- máquina
- máquinas
- malwares
- max-width
- significa
- mensagem
- mensagens
- mensagens
- aplicativos de mensagens
- Minecraft
- mais
- mover
- Natureza
- rede
- Novo
- Newsletter
- não
- notado
- romance
- observado
- of
- oferecer
- Office
- on
- Sob demanda
- uma vez
- ONE
- só
- aberto
- Opera
- Operações
- operadores
- or
- Outros
- Outros
- Visão geral
- próprio
- particular
- particularmente
- Senha
- senhas
- passado
- pagamento
- Cartão de pagamento
- realizar
- plataforma
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- popularidade
- principalmente
- fornecer
- publicado
- fins
- Taxa
- ready-made
- recentemente
- remoto
- trabalho remoto
- respeitável
- pesquisa
- pesquisadores
- restrições
- Subir
- Roblox
- Dito
- esquemas
- seguro
- firmemente
- visto
- vender
- sensível
- serviço
- Serviços
- Sessão
- Partilhar
- Baixo
- semelhante
- simples
- simplificar
- desde
- SMS
- rouba
- roubado
- loja
- tudo incluso
- superfície
- .
- Batido
- tocando
- Target
- Telegram
- do que
- que
- A
- deles
- Eles
- então
- Lá.
- deles
- isto
- ameaça
- atores de ameaças
- ameaçar
- três
- Através da
- demorado
- para
- Tokens
- Terça-feira
- dois
- Em última análise
- Atualizações
- Upload
- sobre
- usar
- usava
- usuários
- usos
- utilização
- vário
- Verificação
- vítimas
- VPN
- Carteiras
- foi
- maneiras
- web
- O Quê
- quando
- qual
- de
- sem
- Atividades:
- escreveu
- anos
- investimentos
- zefirnet