Встроенные сервисы Telegram и Discord — благодатная почва для хранения украденных данных, размещения вредоносных программ и использования ботов в гнусных целях.
Исследователи обнаружили, что киберпреступники используют встроенные службы популярных приложений для обмена сообщениями, таких как Telegram и Discord, в качестве готовых платформ, чтобы помочь им выполнять свою гнусную деятельность в постоянных кампаниях, которые угрожают пользователям.
Согласно новому исследованию Intel 471, злоумышленники используют многофункциональность приложений для обмена сообщениями, в частности их компоненты для создания контента и обмена программами, в качестве основы для кражи информации.
В частности, они используют приложения «для размещения, распространения и выполнения различных функций, которые в конечном итоге позволяют им красть учетные данные или другую информацию у ничего не подозревающих пользователей», — пишут исследователи в блог опубликовано во вторник.
«Хотя приложения для обмена сообщениями, такие как Discord и Telegram, в основном не используются для деловых операций, их популярность в сочетании с ростом удаленной работы означает, что киберпреступник имеет в своем распоряжении большую поверхность атаки, чем в прошлые годы», — пишут исследователи.
По их словам, Intel 471 выявила три основных способа, которыми злоумышленники используют встроенные функции популярных приложений для обмена сообщениями для собственной выгоды: хранение украденных данных, размещение полезной нагрузки вредоносного ПО и использование ботов, выполняющих свою грязную работу.
Хранение удаленных данных
Наличие собственной выделенной и безопасной сети для хранения данных, украденных у ничего не подозревающих жертв киберпреступлений, может быть дорогостоящим и трудоемким. Вместо этого злоумышленники используют функции хранения данных Discord и Telegram в качестве репозиториев для похитителей информации, которые на самом деле зависят от приложений для этого аспекта функциональности, как обнаружили исследователи.
Действительно, новая вредоносная программа дублированный утиный хвост который ворует данные пользователей Facebook Business, недавно был замечен хранящим отфильтрованные данные в канале Telegram, и он далеко не единственный.
По их словам, исследователи из Intel 471 наблюдали за ботом, известным как X-Files, который использует бот-команды внутри Telegram для кражи и хранения данных. Как только вредоносное ПО заражает систему, злоумышленники могут получить пароли, файлы cookie сеанса, учетные данные для входа и данные кредитной карты из популярных браузеров, включая Google Chrome, Chromium, Opera, Slimjet и Vivaldi, а затем поместить эту украденную информацию «в канал Telegram». по своему выбору», — говорят исследователи.
Другой стилер, известный как Prynt Stealer, работает аналогичным образом, но не имеет встроенных команд Telegram, добавили они.
Другие похитители используют Discord в качестве предпочтительной платформы обмена сообщениями для хранения украденных данных. Исследователи заявили, что один похититель, наблюдаемый Intel 471, известный как Blitzed Grabber, использует функцию веб-хуков Discord для хранения данных, извлеченных вредоносным ПО, включая данные автозаполнения, закладки, файлы cookie браузера, учетные данные VPN-клиента, информацию о платежной карте, криптовалютные кошельки и пароли. Веб-перехватчики похожи на API в том, что они упрощают передачу автоматических сообщений и обновлений данных с компьютера жертвы на определенный канал обмена сообщениями.
Исследователи добавили, что Blitzed Grabber и два других похитителя используют приложения для обмена сообщениями для хранения данных — Mercurial Grabber и 44Caliber — также нацелены на учетные данные для игровых платформ Minecraft и Roblox.
«После того, как вредоносное ПО выплевывает эту украденную информацию обратно в Discord, злоумышленники могут использовать ее для продолжения своих собственных схем или перейти к продаже украденных учетных данных в киберпреступном подполье», — отмечают исследователи.
Хостинг полезной нагрузки
По данным Intel 471, злоумышленники также используют облачную инфраструктуру приложений для обмена сообщениями для размещения не только легитимных сервисов, но и прячут в ее недрах вредоносное ПО.
Исследователи отметили, что сеть доставки контента (CDN) Discord была особенно благодатной почвой для хостинга вредоносных программ еще с 2019 года, поскольку операторы киберпреступности не устанавливают никаких ограничений при загрузке своих вредоносных полезных нагрузок для размещения файлов.
«Ссылки открыты для любых пользователей без аутентификации, что дает злоумышленникам веб-домен с высокой репутацией для размещения вредоносных полезных нагрузок», — пишут исследователи.
Семейства вредоносных программ, использующие Discord CDN для размещения вредоносных полезных нагрузок, включают: PrivateLoader, Colibri, Крыса зоны боевых действий, дымовой загрузчик, Agent Tesla стилер и njRAT, среди прочих.
Использование ботов для мошенничества
Исследователи обнаружили, что киберпреступники также позволяют ботам Telegram делать больше, чем предлагать пользователям законные функции. На самом деле, Intel 471 наблюдает то, что она называет «всплеском» услуг, выпоротых киберпреступным подпольем, которые предоставляют доступ ботам, которые могут перехватывать токены одноразовых паролей (OTP), которые субъекты угрозы могут вооружить для обмана пользователей.
Исследователи заметили, что один бот, известный как Astro OTP, предоставляет злоумышленникам доступ как к OTP, так и к кодам подтверждения службы коротких сообщений (SMS). По их словам, киберпреступники могут управлять ботами напрямую через интерфейс Telegram, выполняя простые команды.
По словам исследователей, текущая цена Astro OTP на хакерских форумах составляет 25 долларов США за однодневную подписку или 300 долларов США за пожизненную подписку.
[БЕСПЛАТНОЕ мероприятие по запросу: Присоединяйтесь к Зейну Бонду из Keeper Security на круглом столе Threatpost и узнайте, как получить безопасный доступ к своим компьютерам из любого места и поделиться конфиденциальными документами из домашнего офиса. СМОТРЕТЬ ЗДЕСЬ.]
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://threatpost.com/messaging-apps-cybercriminals/180303/
- :имеет
- :является
- :нет
- 2019
- 50
- 700
- a
- доступ
- По
- деятельность
- актеры
- на самом деле
- добавленный
- позволять
- причислены
- среди
- an
- и
- любой
- откуда угодно
- API
- Программы
- МЫ
- AS
- внешний вид
- At
- атаковать
- Аутентификация
- Автоматизированный
- назад
- BE
- , так как:
- было
- не являетесь
- больший
- Блог
- связь
- закладки
- Бот
- изоферменты печени
- боты
- браузер
- файлы cookie браузера
- встроенный
- бизнес
- деловые операции
- но
- by
- Объявления
- Кампании
- CAN
- карта
- Канал
- выбор
- Выбирая
- Chrome
- хром
- клиент
- облако
- облачная инфраструктура
- Коды
- содержание
- контентного создание
- продолжать
- контроль
- печенье
- дорогостоящий
- соединенный
- Полномочия
- криптовалюта
- кошельки с криптовалютами
- Текущий
- киберпреступности
- КИБЕРПРЕСТУПНИК
- киберпреступники
- данным
- преданный
- поставка
- зависеть
- пополнять счет
- Глубины
- подробнее
- непосредственно
- раздор
- распоряжение
- распространять
- do
- Документация
- приносит
- домен
- расширение прав и возможностей
- особенно
- выполнять
- проведение
- что его цель
- факт
- семей
- далеко
- Фэшн
- Особенность
- Особенности
- Файл
- Что касается
- форумы
- найденный
- Год основания
- от
- функциональность
- Функции
- Gain
- игровой
- дает
- Отдаете
- будет
- Google Chrome
- земля
- хакер
- Есть
- помощь
- Спрятать
- очень
- Главная
- Домашний офис
- кашель
- хостинг
- Как
- How To
- HTTPS
- идентифицированный
- in
- включают
- В том числе
- info
- информация
- INFOSEC
- Инфраструктура
- внутри
- вместо
- Intel
- Интерфейс
- в
- IT
- ЕГО
- Основные
- известный
- УЧИТЬСЯ
- законный
- Используя
- Отменено
- такое как
- связи
- Войти
- машина
- Продукция
- вредоносных программ
- макс-ширина
- означает
- сообщение
- Сообщения
- обмен сообщениями
- приложения для обмена сообщениями
- Minecraft
- БОЛЕЕ
- двигаться
- природа
- сеть
- Новые
- Новостные рассылки
- нет
- отметил,
- роман
- наблюдается
- of
- предлагают
- Офис
- on
- On-Demand
- консолидировать
- ONE
- только
- открытый
- Opera
- Операционный отдел
- Операторы
- or
- Другое
- Другое
- обзор
- собственный
- особый
- особенно
- Пароль
- пароли
- мимо
- оплата
- Платежная карточка
- выполнять
- Платформа
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- популярность
- в первую очередь
- обеспечивать
- опубликованный
- целей
- Обменный курс
- готовый
- недавно
- удаленные
- remote work
- уважаемый
- исследованиям
- исследователи
- Ограничения
- Рост
- Roblox
- Сказал
- схемы
- безопасный
- безопасно
- видел
- продаем
- чувствительный
- обслуживание
- Услуги
- Сессия
- Поделиться
- Короткое
- аналогичный
- просто
- упростить
- с
- SMS
- перехватов
- украли
- магазин
- подписка
- Поверхность
- система
- Утряска
- нажав
- цель
- Telegram
- чем
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- они
- этой
- угроза
- актеры угрозы
- угрожать
- три
- Через
- кропотливый
- в
- Лексемы
- вторник
- два
- В конечном счете
- Updates
- Загрузка
- на
- использование
- используемый
- пользователей
- использования
- через
- различный
- проверка
- жертвы
- VPN
- Кошельки
- законопроект
- способы
- Web
- Что
- когда
- , которые
- без
- Работа
- писал
- лет
- ВАШЕ
- зефирнет