Vgrajeni storitvi Telegram in Discord sta plodna tla za shranjevanje ukradenih podatkov, gostovanje zlonamerne programske opreme in uporabo botov za zlobne namene.
Raziskovalci so ugotovili, da kibernetski kriminalci uporabljajo vgrajene storitve priljubljenih aplikacij za sporočanje, kot sta Telegram in Discord, kot že pripravljene platforme, ki jim pomagajo izvajati svoje nečedne dejavnosti v vztrajnih kampanjah, ki ogrožajo uporabnike.
Glede na novo raziskavo Intel 471 akterji groženj izkoriščajo naravo aplikacij za sporočanje z več funkcijami – zlasti njihove komponente za ustvarjanje vsebine in deljenje programov – kot osnovo za krajo informacij.
Natančneje, uporabljajo aplikacije "za gostovanje, distribucijo in izvajanje različnih funkcij, ki jim na koncu omogočajo krajo poverilnic ali drugih informacij od nič hudega slutečih uporabnikov," so zapisali raziskovalci v blog post objavljeno v torek.
"Medtem ko se aplikacije za sporočanje, kot sta Discord in Telegram, ne uporabljajo predvsem za poslovne operacije, njihova priljubljenost skupaj z naraščanjem dela na daljavo pomeni, da ima kiberkriminalec na voljo večjo površino za napad kot v preteklih letih," so zapisali raziskovalci.
Intel 471 je identificiral tri ključne načine, na katere akterji groženj izkoriščajo vgrajene funkcije priljubljenih aplikacij za sporočanje za lastno korist: shranjevanje ukradenih podatkov, gostovanje zlonamerne programske opreme in uporaba botov, ki opravljajo njihovo umazano delo, so povedali.
Shranjevanje eksfiltriranih podatkov
Imeti lastno namensko in varno omrežje za shranjevanje podatkov, ukradenih nič hudega slutečim žrtvam kibernetske kriminalitete, je lahko drago in dolgotrajno. Namesto tega akterji groženj uporabljajo funkcije Discord in Telegram za shranjevanje podatkov kot repozitorije za kraje informacij, ki so dejansko odvisni od aplikacij za ta vidik funkcionalnosti, so ugotovili raziskovalci.
Pravzaprav nova zlonamerna programska oprema poimenovan Ducktail ki krade podatke uporabnikom Facebook Business, so nedavno opazili, kako shranjuje ekstrahirane podatke v kanal Telegram in še zdaleč ni edini.
Raziskovalci iz Intel 471 so opazili bota, znanega kot X-Files, ki uporablja ukaze bota znotraj Telegrama za krajo in shranjevanje podatkov, so povedali. Ko zlonamerna programska oprema okuži sistem, lahko akterji groženj povlečejo gesla, sejne piškotke, poverilnice za prijavo in podatke o kreditni kartici iz priljubljenih brskalnikov – vključno z Google Chromom, Chromiumom, Opera, Slimjetom in Vivaldijem – in nato te ukradene podatke vložijo »v kanal Telegram po lastni izbiri,« so povedali raziskovalci.
Drugi tat, znan kot Prynt Stealer, deluje na podoben način, vendar nima vgrajenih ukazov Telegram, so dodali.
Drugi kraji uporabljajo Discord kot svojo izbrano platformo za sporočanje za shranjevanje ukradenih podatkov. En tat, ki ga je opazil Intel 471, znan kot Blitzed Grabber, uporablja Discordovo funkcijo webhooks za deponiranje podatkov, ki jih je uničila zlonamerna programska oprema, vključno s podatki o samodejnem izpolnjevanju, zaznamki, piškotki brskalnika, poverilnicami odjemalca VPN, podatki o plačilni kartici, denarnicami in gesli za kriptovalute, so povedali raziskovalci. Webhooki so podobni API-jem, saj poenostavljajo prenos avtomatiziranih sporočil in posodobitev podatkov iz računalnika žrtve v določen kanal za sporočanje.
Blitzed Grabber in dva druga krajca, opažena, da uporabljajo aplikacije za sporočanje za shranjevanje podatkov – Mercurial Grabber in 44Caliber – prav tako ciljajo na poverilnice za igralni platformi Minecraft in Roblox, dodajajo raziskovalci.
"Ko zlonamerna programska oprema izpljune ukradene podatke nazaj v Discord, jih lahko akterji uporabijo za nadaljevanje lastnih shem ali prodajo ukradenih poverilnic podzemlju kibernetskega kriminala," so ugotovili raziskovalci.
Koristno gostovanje
Akterji groženj prav tako izkoriščajo infrastrukturo v oblaku aplikacij za sporočanje, da gostijo več kot le legitimne storitve – v svojih globinah skrivajo tudi zlonamerno programsko opremo, pravi Intel 471.
Raziskovalci ugotavljajo, da je Discordovo omrežje za dostavo vsebine (CDN) posebej plodna tla za gostovanje zlonamerne programske opreme že od leta 2019, ker operaterji kibernetske kriminalitete nimajo nobenih omejitev pri nalaganju svojih zlonamernih koristnih vsebin za gostovanje datotek.
"Povezave so odprte za vse uporabnike brez preverjanja pristnosti, kar akterjem groženj daje zelo ugledno spletno domeno za gostovanje zlonamernega koristnega tovora," so zapisali raziskovalci.
Družine zlonamerne programske opreme, opažene pri uporabi Discord CDN za gostovanje zlonamernih vsebin, vključujejo: PrivateLoader, Colibri, Warzone RAT, dimnik, Agent Tesla stealer in njRAT, med drugim.
Uporaba botov za goljufije
Raziskovalci so ugotovili, da kibernetski kriminalci tudi pooblaščajo robote Telegram, da naredijo več kot samo ponujanje legitimnih funkcij uporabnikom. Pravzaprav je Intel 471 opazil, čemur pravi »vzpon« v storitvah, ki so bičane v podzemlju kibernetskega kriminala in ki zagotavljajo dostop do botov, ki lahko prestrežejo žetone za enkratna gesla (OTP), ki akterji groženj lahko uporabijo kot orožje za goljufanje uporabnikov.
En bot, znan kot Astro OTP, akterjem groženj omogoča dostop do OTP-jev in kod za preverjanje storitev kratkih sporočil (SMS), so opazili raziskovalci. Kibernetski kriminalci lahko nadzirajo bote neposredno prek vmesnika Telegram z izvajanjem preprostih ukazov, so povedali.
Trenutna cena za Astro OTP na hekerskih forumih je 25 USD za enodnevno naročnino ali 300 USD za doživljenjsko naročnino, pravijo raziskovalci.
[BREZPLAČEN dogodek na zahtevo: Pridružite se Zaneu Bondu iz Keeper Security na okrogli mizi Threatpost in se naučite, kako varno dostopati do svojih strojev od kjerkoli in deliti občutljive dokumente iz domače pisarne. OGLED TUKAJ.]
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://threatpost.com/messaging-apps-cybercriminals/180303/
- :ima
- : je
- :ne
- 2019
- 50
- 700
- a
- dostop
- Po
- dejavnost
- akterji
- dejansko
- dodano
- omogočajo
- Prav tako
- med
- an
- in
- kaj
- kjerkoli
- API-ji
- aplikacije
- SE
- AS
- vidik
- At
- napad
- Preverjanje pristnosti
- Avtomatizirano
- nazaj
- BE
- ker
- bilo
- počutje
- večji
- Blog
- obveznic
- zaznamki
- Bot
- tako
- bote
- brskalnik
- piškotki brskalnika
- vgrajeno
- poslovni
- poslovanje
- vendar
- by
- poziva
- Kampanje
- CAN
- kartice
- Channel
- izbira
- izbiri
- Krom
- krom
- stranke
- Cloud
- oblačna infrastruktura
- Kode
- vsebina
- ustvarjanje vsebine
- naprej
- nadzor
- piškotki
- drago
- skupaj
- Mandatno
- cryptocurrency
- kriptokurrency denarnice
- Trenutna
- kibernetski kriminaliteti
- KIBERKRIMINALEC
- cybercriminals
- datum
- namenjen
- dostava
- odvisna
- depozit
- Globine
- Podrobnosti
- neposredno
- neskladje
- odstranjevanje
- distribuirati
- do
- Dokumenti
- ne
- domena
- pooblastitvi
- zlasti
- izvršiti
- izvršitve
- Dejstvo
- družine
- daleč
- Moda
- Feature
- Lastnosti
- file
- za
- forumi
- je pokazala,
- Fundacija
- iz
- funkcionalnost
- funkcije
- Gain
- igre na srečo
- daje
- Giving
- dogaja
- Google Chrome
- Igrišče
- heker
- Imajo
- pomoč
- Skrij
- zelo
- Domov
- Domača pisarna
- gostitelj
- gostovanje
- Kako
- Kako
- HTTPS
- identificirati
- in
- vključujejo
- Vključno
- info
- Podatki
- INFOSEC
- Infrastruktura
- v notranjosti
- Namesto
- Intel
- vmesnik
- v
- IT
- ITS
- Ključne
- znano
- UČITE
- legitimno
- vzvod
- Dvignil
- kot
- Povezave
- prijava
- stroj
- Stroji
- zlonamerna programska oprema
- max širine
- pomeni
- Sporočilo
- sporočil
- sporočanje
- aplikacije za sporočanje
- Minecraft
- več
- premikanje
- Narava
- mreža
- Novo
- Novice
- št
- opozoriti
- roman
- opazovana
- of
- ponudba
- Office
- on
- Na zahtevo
- enkrat
- ONE
- samo
- odprite
- deluje
- operacije
- operaterji
- or
- Ostalo
- drugi
- pregled
- lastne
- zlasti
- zlasti
- Geslo
- gesla
- preteklosti
- Plačilo
- Plačilna kartica
- opravlja
- platforma
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- Priljubljenost
- v prvi vrsti
- zagotavljajo
- objavljeno
- namene
- Oceniti
- pripravljen
- Pred kratkim
- daljinsko
- delo na daljavo
- ugledne
- Raziskave
- raziskovalci
- Omejitve
- Rise
- Roblox
- Je dejal
- sheme
- zavarovanje
- Varno
- videl
- prodaja
- občutljiva
- Storitev
- Storitve
- Zasedanje
- Delite s prijatelji, znanci, družino in partnerji :-)
- Kratke Hlače
- Podoben
- Enostavno
- poenostavitev
- saj
- SMS
- ukradejo
- ukradeno
- trgovina
- naročnina
- Površina
- sistem
- Tapped
- tapping
- ciljna
- Telegram
- kot
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- jih
- ta
- Grožnja
- akterji groženj
- grozi
- 3
- skozi
- zamudno
- do
- Boni
- Torek
- dva
- Konec koncev
- posodobitve
- Prenos
- naprej
- uporaba
- Rabljeni
- Uporabniki
- uporablja
- uporabo
- različnih
- Preverjanje
- žrtve
- VPN
- Denarnice
- je
- načini
- web
- Kaj
- kdaj
- ki
- z
- brez
- delo
- Napisal
- let
- Vaša rutina za
- zefirnet