攻擊者使用Echelon信息竊取器瞄準Telegram用戶的加密錢包，旨在欺騙加密貨幣的新用戶或毫無戒心的用戶。

他們在一份分析報告中表示，SafeGuard Cyber第七部門威脅分析部門的研究人員在10月份檢測到一個以加密貨幣為重點的Telegram頻道上發(fā)布的Echelon樣本。

活動中使用的惡意軟件旨在從多個消息傳遞和文件共享平臺竊取憑據，包括Discord、Edge、FileZilla、OpenVPN、Outlook甚至Telegram本身，以及許多加密貨幣錢包，包括AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。

據報道，該活動采用一種“撒網并祈禱(spray and pray)”的模式：“根據惡意軟件及其發(fā)布方式，SafeGuard Cyber認為它不是協調活動的一部分，而只是針對該頻道的新用戶或不熟悉的用戶。”

研究人員發(fā)現，攻擊者使用“Smokes Night”句柄在頻道上傳播Echelon，但尚不清楚它的進展程度。他們寫道：“該帖子似乎不是對頻道中任何相關消息的回應。”

他們說，頻道上的其他用戶似乎沒有注意到任何可疑之處也沒有參與其中。然而，研究人員寫道，這并不意味著惡意軟件沒有到達用戶的設備。

他們寫道：“我們沒有看到任何人對‘Smokes Night’做出回應或對它提出投訴，但這并不能證明該頻道的用戶沒有受到感染。”

Telegram消息應用程序確實已成為網絡犯罪分子活動的溫床，他們利用其受歡迎程度和廣泛的攻擊面，通過使用機器人、惡意帳戶和其他方式在平臺上傳播惡意軟件。

惡意軟件分析

攻擊者通過名為“present).rar”的.RAR文件將Echelon傳送到加密貨幣通道，該文件包含三個文件：“pass–123.txt”，一個包含密碼的良性文本文檔;“DotNetZip.dll”，一個用于操作.ZIP文件的非惡意類庫和工具集，以及“Present.exe”，Echelon憑據竊取程序的惡意可執(zhí)行文件。

用.NET編寫的有效負載還包括幾個難以檢測或分析的功能，包括兩個反調試功能，如果檢測到調試器或其他惡意軟件分析工具，立即終止進程，以及使用開源混淆工具ConfuserEx。

研究人員最終設法消除了代碼的混淆，并在發(fā)送給Telegram頻道用戶的Echelon樣本的掩護下進行觀察。研究人員寫道，他們發(fā)現它包含域檢測，這意味著樣本還將嘗試竊取有關受害者訪問過的任何域的數據。報告中包含了Echelon樣本試圖瞄準的平臺的完整列表。

研究人員寫道，惡意軟件的其他功能包括計算機指紋識別，以及截取受害者機器屏幕截圖的能力。他們說，從活動中提取的Echelon樣本使用壓縮的.ZIP文件將憑據和其他被盜數據以及屏幕截圖發(fā)送回命令和控制服務器。

研究人員指出，幸運的是，Windows Defender檢測并刪除了Present.exe惡意可執(zhí)行樣本，并發(fā)出“#LowFI:HookwowLow”的警告，從而減輕了Echelon對安裝了防病毒軟件的用戶所構成的潛在損害。

本文翻譯自：https://threatpost.com/telegram-steal-crypto-wallet-credentials/177266/如若轉載，請注明原文地址。