研究人員發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子正在利用Telegram和Discord等流行消息應(yīng)用程序的內(nèi)置服務(wù)作為現(xiàn)成平臺(tái)，以幫助他們?cè)谕{用戶的持續(xù)活動(dòng)中執(zhí)行一些不良活動(dòng)。

根據(jù)英特爾471的最新研究，威脅行為者正在利用消息應(yīng)用程序的多功能特性——特別是它們的內(nèi)容創(chuàng)建和程序共享組件——作為信息竊取的基礎(chǔ)。

具體來(lái)說(shuō)，他們使用這些應(yīng)用程序“托管、分發(fā)和執(zhí)行各種功能，最終使他們能夠從毫無(wú)戒心的用戶那里竊取憑據(jù)或其他信息，”研究人員在周二發(fā)表的一篇博客文章中寫道。

研究人員寫道：“雖然Discord和Telegram等消息應(yīng)用程序并非主要用于業(yè)務(wù)運(yùn)營(yíng)，但它們的廣泛運(yùn)用，再加上遠(yuǎn)程工作的興起，讓網(wǎng)絡(luò)犯罪分子擁有比過(guò)去幾年更大的攻擊面?！?/p>

他們說(shuō)，英特爾471確定了威脅行為者利用流行消息傳遞應(yīng)用程序的內(nèi)置功能謀取利益的三種關(guān)鍵方式：存儲(chǔ)被盜數(shù)據(jù)、托管惡意軟件有效負(fù)載以及使用執(zhí)行其入侵工作的機(jī)器人。

存儲(chǔ)泄露的數(shù)據(jù)

使用自己的專用且安全的網(wǎng)絡(luò)來(lái)存儲(chǔ)從毫無(wú)戒心的網(wǎng)絡(luò)犯罪受害者那里竊取的數(shù)據(jù)，可能需要較高的經(jīng)濟(jì)成本和時(shí)間成本。研究人員發(fā)現(xiàn)，威脅參與者正在使用Discord和Telegram的數(shù)據(jù)存儲(chǔ)功能作為信息竊取者的存儲(chǔ)庫(kù)，這些信息竊取者實(shí)際上依賴于應(yīng)用程序來(lái)實(shí)現(xiàn)這方面的功能。

事實(shí)上，最近發(fā)現(xiàn)一種名為Ducktail的新型惡意軟件從Facebook商業(yè)用戶那里竊取數(shù)據(jù)，并將泄露的數(shù)據(jù)存儲(chǔ)在一個(gè)Telegram頻道中，而且這并非唯一的案例。

他們說(shuō)，英特爾471的研究人員觀察到一個(gè)名為X-Files的機(jī)器人，它使用Telegram中的機(jī)器人命令來(lái)竊取和存儲(chǔ)數(shù)據(jù)。一旦惡意軟件感染了系統(tǒng)，攻擊者就可以從流行的瀏覽器（包括谷歌瀏覽器、Chromium、Opera、Slimjet和Vivaldi）上刷取密碼、會(huì)話cookie、登錄憑據(jù)和信用卡詳細(xì)信息，然后將竊取的信息“存入他們選擇的Telegram頻道”，研究人員說(shuō)。

他們補(bǔ)充說(shuō)，另一個(gè)被稱為Prynt Stealer的竊取程序以類似的方式運(yùn)行，但沒(méi)有內(nèi)置的Telegram命令。

其他竊取者使用Discord作為存儲(chǔ)被盜數(shù)據(jù)的首選消息傳遞平臺(tái)。研究人員表示，英特爾471觀察到的一個(gè)被稱為Blitzed Grabber的竊取者使用Discord的webhook功能存儲(chǔ)惡意軟件提取的數(shù)據(jù)，包括自動(dòng)填充數(shù)據(jù)、書簽、瀏覽器cookie、VPN客戶端憑據(jù)、支付卡信息、加密貨幣錢包和密碼。Webhook與API類似，因?yàn)樗鼈兒?jiǎn)化了從受害者機(jī)器到特定消息通道的自動(dòng)消息和數(shù)據(jù)更新的傳輸。

研究人員補(bǔ)充說(shuō)，Blitzed Grabber和另外兩名使用信息應(yīng)用程序進(jìn)行數(shù)據(jù)存儲(chǔ)的盜竊者——Mercurial Grabber和44Calible——也瞄準(zhǔn)了Minecraft和Roblox游戲平臺(tái)的憑據(jù)。

研究人員指出：“一旦惡意軟件將竊取的信息傳回Discord，攻擊者就可以使用它來(lái)繼續(xù)他們自己的計(jì)劃，或者在地下網(wǎng)絡(luò)犯罪中出售被盜的憑據(jù)。”

有效負(fù)載托管

據(jù)英特爾471稱，威脅參與者還利用消息傳遞應(yīng)用程序的云基礎(chǔ)設(shè)施來(lái)托管更多合法服務(wù)——他們還將惡意軟件隱藏在其深處。

研究人員指出，自2019年以來(lái)，Discord的內(nèi)容交付網(wǎng)絡(luò)（CDN）一直是惡意軟件托管的肥沃土壤，因?yàn)榫W(wǎng)絡(luò)犯罪運(yùn)營(yíng)商在上傳惡意有效負(fù)載以進(jìn)行文件托管時(shí)沒(méi)有任何限制。

研究人員寫道：“這些鏈接對(duì)任何未經(jīng)身份驗(yàn)證的用戶開放，為威脅行為者提供了一個(gè)信譽(yù)良好的網(wǎng)絡(luò)域來(lái)托管惡意負(fù)載?！?/p>

觀察到使用Discord CDN托管惡意負(fù)載的惡意軟件系列包括：PrivateLoader、Colibri、Warzone RAT、Smokeloader、Agent Tesla Stealer和njRAT等。

使用機(jī)器人進(jìn)行欺詐

研究人員發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子還使Telegram機(jī)器人能夠做的不僅僅是向用戶提供合法功能。事實(shí)上，英特爾471已經(jīng)觀察到它所稱的針對(duì)地下網(wǎng)絡(luò)犯罪的服務(wù)出現(xiàn)了“上升”，這些服務(wù)提供了對(duì)機(jī)器人的訪問(wèn)，這些機(jī)器人可以攔截一次性密碼令牌，威脅者可以利用這些令牌來(lái)欺騙用戶。

研究人員觀察到，一種名為Astro OTP的機(jī)器人使威脅參與者可以訪問(wèn)OTP和短信服務(wù)（SMS）驗(yàn)證碼。他們說(shuō)，網(wǎng)絡(luò)犯罪分子可以通過(guò)執(zhí)行簡(jiǎn)單的命令直接通過(guò)Telegram界面控制機(jī)器人。

研究人員表示，目前在黑客論壇上，Astro OTP現(xiàn)行的訂閱價(jià)格為25美元每天或300美元終身。

本文翻譯自：https://threatpost.com/messaging-apps-cybercriminals/180303/如若轉(zhuǎn)載，請(qǐng)注明原文地址。