Yerleşik Telegram ve Discord hizmetleri, çalınan verilerin depolanması, kötü amaçlı yazılımların barındırılması ve botların kötü amaçlarla kullanılması için verimli bir zemindir.
Araştırmacılar, siber suçluların, kullanıcıları tehdit eden kalıcı kampanyalarda hain faaliyetlerini gerçekleştirmelerine yardımcı olmak için Telegram ve Discord gibi popüler mesajlaşma uygulamalarının yerleşik hizmetlerinden hazır platformlar olarak yararlandığını buldu.
Intel 471'in yeni araştırmasına göre tehdit aktörleri, bilgi çalmanın temeli olarak mesajlaşma uygulamalarının çok özellikli doğasından (özellikle içerik oluşturma ve program paylaşma bileşenlerinden) yararlanıyor.
Araştırmacılar, uygulamaları özellikle "şüphelenmeyen kullanıcılardan kimlik bilgilerini veya diğer bilgileri çalmalarına olanak tanıyan çeşitli işlevleri barındırmak, dağıtmak ve yürütmek için" kullandıklarını yazdı. Bir blog yazısı Salı günü yayınlandı.
Araştırmacılar, "Discord ve Telegram gibi mesajlaşma uygulamaları öncelikle ticari operasyonlar için kullanılmasa da, popülerlikleri uzaktan çalışmadaki artışla birleştiğinde, siber suçluların geçmiş yıllara kıyasla daha büyük bir saldırı yüzeyine sahip olduğu anlamına geliyor" diye yazdı.
Intel 471, tehdit aktörlerinin popüler mesajlaşma uygulamalarının yerleşik özelliklerinden kendi çıkarları için yararlandıkları üç temel yöntemi belirledi: çalıntı verileri depolamak, kötü amaçlı yazılım yüklerini barındırmak ve kirli işlerini yapan botları kullanmak.
Sızdırılan Verilerin Saklanması
Siber suçun şüphesiz kurbanlarından çalınan verileri depolamak için kişinin kendine özel ve güvenli bir ağına sahip olması maliyetli ve zaman alıcı olabilir. Araştırmacılar, tehdit aktörlerinin bunun yerine Discord ve Telegram'ın veri depolama özelliklerini bilgi hırsızları için depo olarak kullandığını ve bu özelliklerin işlevsellik açısından uygulamalara bağımlı olduğunu buldu.
Aslında yeni kötü amaçlı yazılımlar Ördek Kuyruğu adı verilen Facebook Business kullanıcılarından veri çalan bu uygulamanın yakın zamanda sızdırılmış verileri bir Telegram kanalında depoladığı görüldü ve bu tek kanal değil.
Intel 471'den araştırmacılar, verileri çalmak ve depolamak için Telegram'ın içindeki bot komutlarını kullanan, X-Files olarak bilinen bir bot gözlemlediklerini söylediler. Kötü amaçlı yazılım bir sisteme bulaştığında, tehdit aktörleri Google Chrome, Chromium, Opera, Slimjet ve Vivaldi dahil olmak üzere popüler tarayıcılardaki şifreleri, oturum çerezlerini, oturum açma kimlik bilgilerini ve kredi kartı ayrıntılarını çalabilir ve ardından çalınan bu bilgiyi "bir Telegram kanalına" bırakabilir. araştırmacılar, "kendi seçtikleri" dedi.
Prynt Stealer olarak bilinen başka bir hırsızın da benzer şekilde çalıştığını ancak yerleşik Telegram komutlarına sahip olmadığını eklediler.
Diğer hırsızlar, çalınan verileri depolamak için mesajlaşma platformu olarak Discord'u kullanıyor. Araştırmacılar, Intel 471 tarafından gözlemlenen ve Blitzed Grabber olarak bilinen bir hırsızın, otomatik doldurma verileri, yer imleri, tarayıcı çerezleri, VPN istemci kimlik bilgileri, ödeme kartı bilgileri, kripto para birimi cüzdanları ve şifreleri de dahil olmak üzere kötü amaçlı yazılım tarafından kaldırılan verileri depolamak için Discord'un web kancaları özelliğini kullandığını söyledi. Web kancaları, otomatik mesajların ve veri güncellemelerinin kurbanın makinesinden belirli bir mesajlaşma kanalına iletilmesini basitleştirmeleri açısından API'lere benzer.
Araştırmacılar, Blitzed Grabber ve diğer iki hırsızın, veri depolamak için mesajlaşma uygulamalarını (Mercurial Grabber ve 44Caliber) kullandıklarını gözlemlediklerini ve aynı zamanda Minecraft ve Roblox oyun platformlarına yönelik kimlik bilgilerini de hedeflediklerini ekledi.
Araştırmacılar, "Kötü amaçlı yazılım çalınan bilgiyi Discord'a geri gönderdiğinde, aktörler bunu kendi planlarına devam etmek için kullanabilir veya çalınan kimlik bilgilerini yeraltındaki siber suçlarda satmak için harekete geçebilir" dedi.
Yük Barındırma
Tehdit aktörleri meşru hizmetlerden daha fazlasını barındırmak için mesajlaşma uygulamalarının bulut altyapısından da yararlanıyor; Intel 471'e göre kötü amaçlı yazılımları da derinliklerinde gizliyorlar.
Araştırmacılar, Discord'un içerik dağıtım ağının (CDN), 2019'dan bu yana kötü amaçlı yazılım barındırma için özellikle verimli bir zemin olduğunu, çünkü siber suç operatörlerinin kötü amaçlı yüklerini dosya barındırma için buraya yüklerken hiçbir kısıtlamaya uymadığını belirtti.
Araştırmacılar, "Bağlantılar, kimlik doğrulaması olmadan tüm kullanıcılara açık olup, tehdit aktörlerine kötü amaçlı yükleri barındırmak için son derece saygın bir web alanı sağlıyor" diye yazdı.
Kötü amaçlı yükleri barındırmak için Discord CDN'yi kullanırken gözlemlenen kötü amaçlı yazılım aileleri şunları içerir: PrivateLoader, Colibri, Savaş Bölgesi RAT'ı, Duman yükleyici, Ajan Tesla diğerleri arasında hırsız ve njRAT.
Botları Dolandırıcılık Amaçlı Kullanmak
Araştırmacılar, siber suçluların Telegram botlarını kullanıcılara meşru özellikler sunmaktan daha fazlasını yapma konusunda da güçlendirdiğini ortaya çıkardı. Aslında Intel 471, tek kullanımlık parola (OTP) belirteçlerini ele geçirebilen botlara erişim sağlayan yeraltı siber suçlarında durdurulan hizmetlerde kendi deyimiyle bir "artış" gözlemledi. Tehdit aktörleri silah haline gelebilir Kullanıcıları dolandırmak için.
Araştırmacılar, Astro OTP olarak bilinen bir botun, tehdit aktörlerine hem OTP'lere hem de kısa mesaj hizmeti (SMS) doğrulama kodlarına erişim sağladığını gözlemledi. Siber suçluların, basit komutları uygulayarak botları doğrudan Telegram arayüzü aracılığıyla kontrol edebildiklerini söylediler.
Araştırmacılar, Astro OTP'nin hacker forumlarındaki mevcut ücretinin bir günlük abonelik için 25 ABD Doları veya ömür boyu abonelik için 300 ABD Doları olduğunu söyledi.
[ÜCRETSİZ İsteğe Bağlı Etkinlik: Bir Threatpost yuvarlak masasında Keeper Security'den Zane Bond'a katılın ve makinelerinize her yerden güvenli bir şekilde nasıl erişeceğinizi ve ev ofisinizden hassas belgeleri nasıl paylaşacağınızı öğrenin. BURAYA BAK.]
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://threatpost.com/messaging-apps-cybercriminals/180303/
- :vardır
- :dır-dir
- :olumsuzluk
- 2019
- 50
- 700
- a
- erişim
- Göre
- etkinlik
- aktörler
- aslında
- katma
- izin vermek
- Ayrıca
- arasında
- an
- ve
- herhangi
- hiçbir yerde
- API'ler
- uygulamalar
- ARE
- AS
- boy
- At
- saldırı
- Doğrulama
- Otomatik
- Arka
- BE
- Çünkü
- olmuştur
- olmak
- büyük
- Blog
- bağ
- imleri
- Bot
- her ikisi de
- botlar
- tarayıcı
- tarayıcı çerezleri
- yerleşik
- iş
- iş operasyonları
- fakat
- by
- aramalar
- Kampanyalar
- CAN
- kart
- Telegram Kanal
- seçim
- seçme
- krom
- krom
- müşteri
- bulut
- bulut altyapısı
- kodları
- içerik
- içerik yaratımı
- devam etmek
- kontrol
- kurabiye
- pahalı
- çiftleşmiş
- Tanıtım
- cryptocurrency
- cryptocurrency cüzdanlar
- akım
- Siber suç
- SİBER CEZA
- siber suçluların
- veri
- adanmış
- teslim
- bağlı
- mevduat
- Derinlikleri
- ayrıntılar
- direkt olarak
- anlaşmazlık
- yok etme
- dağıtmak
- do
- evraklar
- yok
- domain
- güçlendirici
- özellikle
- yürütmek
- yürütme
- gerçek
- aileleri
- uzak
- Moda
- Özellikler(Hazırlık aşamasında)
- Özellikler
- fileto
- İçin
- forumları
- bulundu
- vakıf
- itibaren
- işlevsellik
- fonksiyonlar
- Kazanç
- kumar
- verir
- Verilmesi
- gidiş
- Google Chrome
- Zemin
- Hacker
- Var
- yardım et
- gizlemek
- büyük ölçüde
- Ana Sayfa
- Ev Ofis
- ev sahibi
- hosting
- Ne kadar
- Nasıl Yapılır
- HTTPS
- tespit
- in
- dahil
- Dahil olmak üzere
- bilgi
- bilgi
- INFOSEC
- Altyapı
- içeride
- yerine
- Intel
- arayüzey
- içine
- IT
- ONUN
- anahtar
- bilinen
- ÖĞRENİN
- meşru
- kaldıraç
- Kaldırdın
- sevmek
- bağlantılar
- giriş
- makine
- Makineler
- kötü amaçlı yazılım
- maksimum genişlik
- anlamına geliyor
- mesaj
- mesajları
- mesajlaşma
- mesajlaşma uygulamaları
- Minecraft
- Daha
- hareket
- Tabiat
- ağ
- yeni
- Kaydolun
- yok hayır
- ünlü
- roman
- gözlenen
- of
- teklif
- Office
- on
- On-Demand
- bir Zamanlar
- ONE
- bir tek
- açık
- Opera
- Operasyon
- operatörler
- or
- Diğer
- Diğer
- genel bakış
- kendi
- belirli
- özellikle
- Şifre
- şifreleri
- geçmiş
- ödeme
- Ödeme kartı
- yapmak
- platform
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- Popüler
- popülerlik
- öncelikle
- sağlamak
- yayınlanan
- amaçlı
- oran
- hazır
- geçenlerde
- uzak
- uzaktan çalışma
- saygın
- araştırma
- Araştırmacılar
- kısıtlamaları
- Yükselmek
- Roblox
- Adı geçen
- şemaları
- güvenli
- Güvenli
- görüldü
- satmak
- hassas
- hizmet
- Hizmetler
- Oturum
- paylaş
- kısa
- benzer
- Basit
- basitleştirmek
- beri
- SMS
- top çalma
- çalıntı
- mağaza
- abone
- yüzey
- sistem
- Dağılmış
- dokunarak
- Hedef
- Telegram
- göre
- o
- The
- ve bazı Asya
- Onları
- sonra
- Orada.
- onlar
- Re-Tweet
- tehdit
- tehdit aktörleri
- tehdit etmek
- üç
- İçinden
- zaman tükeniyor
- için
- Jeton
- Salı
- iki
- eninde sonunda
- Güncellemeler
- Yükleme
- üzerine
- kullanım
- Kullanılmış
- kullanıcılar
- kullanım
- kullanma
- çeşitli
- Doğrulama
- kurbanlar
- VPN
- Cüzdan
- oldu
- yolları
- ağ
- Ne
- ne zaman
- hangi
- ile
- olmadan
- İş
- yazdı
- yıl
- zefirnet