Inbyggda Telegram- och Discord-tjänster är grogrund för lagring av stulen data, värd för skadlig programvara och användning av bots för skändliga syften.
Cyberbrottslingar utnyttjar de inbyggda tjänsterna i populära meddelandeappar som Telegram och Discord som färdiga plattformar för att hjälpa dem att utföra sina skändliga aktiviteter i ihållande kampanjer som hotar användare, har forskare funnit.
Hotaktörer utnyttjar multifunktionskaraktären hos meddelandeappar – i synnerhet deras innehållsskapande och programdelningskomponenter – som en grund för informationsstöld, enligt ny forskning från Intel 471.
Specifikt använder de apparna "för att vara värd för, distribuera och utföra olika funktioner som i slutändan tillåter dem att stjäla referenser eller annan information från intet ont anande användare", skrev forskare i ett blogginlägg publicerad tisdag.
"Medan meddelandeappar som Discord och Telegram inte primärt används för affärsverksamhet, betyder deras popularitet tillsammans med ökningen av distansarbete att en cyberkriminell har en större attackyta till sitt förfogande än under tidigare år", skrev forskare.
Intel 471 identifierade tre viktiga sätt på vilka hotaktörer utnyttjar inbyggda funktioner i populära meddelandeappar för egen vinning: lagring av stulen data, värd för skadlig nyttolast och att använda bots som utför sitt smutsiga arbete, sa de.
Lagring av exfiltrerad data
Att ha ett eget dedikerat och säkert nätverk för att lagra data som stulits från intet ont anande offer för cyberbrottslighet kan vara kostsamt och tidskrävande. Istället använder hotaktörer datalagringsfunktioner i Discord och Telegram som förråd för info-stöldare som faktiskt är beroende av apparna för denna aspekt av funktionalitet, har forskare funnit.
Ja, ny skadlig programvara dubbad Ducktail som stjäl data från Facebook Business-användare sågs nyligen lagra exfiltrerad data i en Telegram-kanal, och det är långt ifrån den enda.
Forskare från Intel 471 observerade en bot känd som X-Files som använder botkommandon inuti Telegram för att stjäla och lagra data, sa de. När skadlig programvara infekterar ett system kan hotaktörer dra lösenord, sessionscookies, inloggningsuppgifter och kreditkortsuppgifter från populära webbläsare – inklusive Google Chrome, Chromium, Opera, Slimjet och Vivaldi – och sedan sätta in den stulna informationen "till en Telegram-kanal efter eget val", sa forskare.
En annan stealer känd som Prynt Stealer fungerar på ett liknande sätt, men har inte de inbyggda Telegram-kommandona, tillade de.
Andra stjälare använder Discord som deras meddelandeplattform för att lagra stulen data. En stjälare som observerats av Intel 471, känd som Blitzed Grabber, använder Discords webhooks-funktion för att deponera data som lyfts av skadlig programvara, inklusive autofylldata, bokmärken, webbläsarcookies, VPN-klientuppgifter, betalkortsinformation, kryptovaluta plånböcker och lösenord, sa forskare. Webhooks liknar API:er genom att de förenklar överföringen av automatiska meddelanden och datauppdateringar från ett offers maskin till en viss meddelandekanal.
Blitzed Grabber och två andra stjälare observerade att de använde meddelandeappar för datalagring – Mercurial Grabber och 44Caliber – riktar sig också till Minecraft- och Roblox-spelplattformarna, tillade forskare.
"När den skadliga programvaran spottar tillbaka den stulna informationen i Discord, kan aktörer sedan använda den för att fortsätta sina egna planer eller flytta för att sälja de stulna referenserna på cyberbrottsligheten under jorden," noterade forskare.
Nyttolastvärd
Hotaktörer utnyttjar också molninfrastrukturen för meddelandeappar för att vara värd för mer än legitima tjänster – de döljer också skadlig programvara i dess djup, enligt Intel 471.
Discords innehållsleveransnätverk (CDN) har varit en särskilt fruktbar grund för värd för skadlig programvara sedan så långt tillbaka som 2019 eftersom cyberbrottsoperatörer inte har några begränsningar när de laddar upp sina skadliga nyttolaster dit för filvärd, noterade forskare.
"Länkarna är öppna för alla användare utan autentisering, vilket ger hotaktörer en mycket ansedd webbdomän för att vara värd för skadliga nyttolaster", skrev forskare.
Skadliga programfamiljer som observerats använda Discord CDN för att vara värd för skadliga nyttolaster inkluderar: PrivateLoader, Colibri, Warzone RAT, röklastare, Agent Tesla bland annat stealer och njRAT.
Använda bots för bedrägeri
Cyberkriminella ger också Telegram-bots möjlighet att göra mer än att erbjuda legitima funktioner till användare, fann forskare. Faktum är att Intel 471 har observerat vad den kallar en "uppgång" i tjänster som piskas på cyberbrottsligheten under jorden som ger tillgång till bots som kan fånga upp engångslösenord (OTP)-tokens, vilket hotaktörer kan beväpna att lura användare.
En bot känd som Astro OTP ger hotaktörer tillgång till både OTP:er och SMS-verifieringskoder, observerade forskare. Cyberkriminella kan styra botarna direkt genom Telegram-gränssnittet genom att utföra enkla kommandon, sa de.
Den aktuella kursen för Astro OTP på hackerforum är 25 USD för en endagsprenumeration eller 300 USD för en livstidsprenumeration, sa forskare.
[GRATIS Event på begäran: Gå med i Keeper Securitys Zane Bond i ett Threatpost-rundbord och lär dig hur du säkert kommer åt dina maskiner var som helst och delar känsliga dokument från ditt hemmakontor. SE HÄR.]
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://threatpost.com/messaging-apps-cybercriminals/180303/
- : har
- :är
- :inte
- 2019
- 50
- 700
- a
- tillgång
- Enligt
- aktivitet
- aktörer
- faktiskt
- lagt till
- tillåter
- också
- bland
- an
- och
- vilken som helst
- var som helst
- API: er
- appar
- ÄR
- AS
- aspekt
- At
- attackera
- Autentisering
- Automatiserad
- tillbaka
- BE
- därför att
- varit
- Där vi får lov att vara utan att konstant prestera,
- större
- Blogg
- bindning
- bokmärken
- Bot
- båda
- botar
- webbläsare
- webbläsarkakor
- inbyggd
- företag
- affärsverksamhet
- men
- by
- Samtal
- Kampanjer
- KAN
- kortet
- Kanal
- val
- välja
- krom
- krom
- klient
- cloud
- molninfrastruktur
- koder
- innehåll
- innehållsskapande
- fortsätta
- kontroll
- Cookiepolicy
- kostsam
- kopplad
- referenser
- kryptovaluta
- cryptocurrency plånböcker
- Aktuella
- cyberbrottslighet
- IT-KRIMINELL
- nätbrottslingar
- datum
- dedicerad
- leverans
- bero
- deposition
- Djup
- detaljer
- direkt
- oenighet
- förfogande
- distribuera
- do
- dokument
- gör
- domän
- ge
- speciellt
- exekvera
- exekvera
- Faktum
- familjer
- långt
- Mode
- Leverans
- Funktioner
- Fil
- För
- forum
- hittade
- fundament
- från
- funktionalitet
- funktioner
- Få
- Gaming
- ger
- Ge
- kommer
- Google Chrome
- Marken
- Hackaren
- Har
- hjälpa
- Dölja
- höggradigt
- Hem
- Hemmakontor
- värd
- värd
- Hur ser din drömresa ut
- How To
- HTTPS
- identifierade
- in
- innefattar
- Inklusive
- info
- informationen
- INFOSEC
- Infrastruktur
- inuti
- istället
- Intel
- Gränssnitt
- in
- IT
- DESS
- Nyckel
- känd
- LÄRA SIG
- legitim
- hävstångs
- Lifted
- tycka om
- länkar
- logga in
- Maskinen
- Maskiner
- malware
- max-bredd
- betyder
- meddelande
- meddelanden
- meddelandehantering
- meddelandeappar
- Minecraft
- mer
- flytta
- Natur
- nät
- Nya
- Nyhetsbrev
- Nej
- noterade
- roman
- observerad
- of
- erbjudanden
- Office
- on
- On-Demand
- gång
- ONE
- endast
- öppet
- Opera
- Verksamhet
- operatörer
- or
- Övriga
- Övrigt
- Översikt
- egen
- särskilt
- särskilt
- Lösenord
- lösenord
- Tidigare
- betalning
- Betalkort
- utföra
- plattform
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Populära
- popularitet
- primärt
- ge
- publicerade
- syfte
- Betygsätta
- färdiga
- nyligen
- avlägsen
- fjärrarbete
- ansedda
- forskning
- forskare
- begränsningar
- Rise
- Roblox
- Nämnda
- system
- säkra
- säkert
- sett
- sälja
- känslig
- service
- Tjänster
- session
- Dela
- Kort
- liknande
- Enkelt
- förenkla
- eftersom
- SMS
- stjäl
- stulna
- lagra
- prenumeration
- yta
- system
- Knackade
- knacka
- Målet
- Telegram
- än
- den där
- Smakämnen
- deras
- Dem
- sedan
- Där.
- de
- detta
- hot
- hotaktörer
- hota
- tre
- Genom
- tidskrävande
- till
- tokens
- Tisdag
- två
- Ytterst
- Uppdateringar
- uppladdning
- på
- användning
- Begagnade
- användare
- användningar
- med hjälp av
- olika
- Verifiering
- offer
- VPN
- Plånböcker
- var
- sätt
- webb
- Vad
- när
- som
- med
- utan
- Arbete
- skrev
- år
- Din
- zephyrnet