網絡犯罪分子如何利用消息傳遞應用程序傳播惡意軟件、進行通信
網絡犯罪分子正在轉向 Telegram 和 Discord 等消息應用程序,作為流行地下論壇的替代品:不僅是為了私人通信和安全功能,也是傳播惡意軟件的途徑。
信息安全供應商 Intel 471 的研究人員一直在跟蹤十多個威脅組織的活動,這些組織主要使用這些平臺來托管和分發竊取信息的惡意軟件,并更輕松地與網絡犯罪社區中的其他人進行交流。
研究人員在周二發表的一篇博客文章中寫道:“Telegram 中的簡單性和安全性相結合,為攻擊者提供了一個完美的通信中心:網絡犯罪分子可以單獨或成組向他人發送消息,以及接收或發送大型數據文件。”
“??Telegram 還為參與者提供了為通常在網絡地下論壇上不活躍的特定利益創建定制渠道的能力。這使威脅參與者能夠通過組建和加入與其利益和目標一致的團體和渠道來進行犯罪行動。”
據該公司情報收集管理總監加勒特·卡斯滕斯 (Garrett Carstens) 稱,向 Telegram 和 Discord 的遷移說明了犯罪集團的動態性質以及他們所處的世界。
“網絡犯罪分子將在他們認為合適的情況下改變其運營的方方面面,尤其是在面臨運營安全威脅時,”卡斯滕斯告訴The Register,并補充說,在高調之后,一些地下論壇禁止談論勒索軟件Colonial Pipeline和 JBS Foods 的攻擊,這引起了美國政府不必要的審查。
“網絡犯罪分子打算尋找另一個可以談論他們的操作的平臺。Telegram 提供的門控性質,加上一對一對話的能力,為網絡犯罪分子提供了一種更容易溝通的方式,所以這并不奇怪他們更傾向于這個平臺。”
在上周早些時候的一篇博客文章中,英特爾 471 分析師表示,Telegram 和 Discord 等應用程序使用戶能夠創建和共享程序和媒體、玩游戲以及執行其他自動化任務。網絡犯罪分子正在使用這些類似機器人的功能開展活動,使他們能夠從受害者那里竊取憑據和其他信息。
研究人員寫道,有幾個信息竊取器可以免費下載,它們依賴于 Telegram 或 Discord 來運行。該惡意軟件竊取了一系列數據,從書簽和瀏覽器 cookie 到操作系統信息、密碼、加密貨幣錢包和 Microsoft Windows 產品密鑰。一些信息竊取者,包括 Blitzed Grabber、Mercurial Grabber 和 44Caliber,也針對與 Minecraft 和 Roblox 游戲平臺相關的憑據。
Blitzed Grabber 使用 Discord 的 webhook 功能來存儲通過惡意軟件泄露的數據,攻擊者可以使用這些數據或將其出售給其他犯罪分子。另一個名為 X-Files 的功能包括可以通過 Telegram 中的機器人命令訪問的功能。
研究人員寫道:“一旦惡意軟件被加載到受害者的系統上,惡意行為者就可以竊取密碼、會話 cookie、登錄憑據和信用卡詳細信息,將這些信息定向到他們選擇的 Telegram 頻道。” “X-Files 可以從一系列瀏覽器中獲取信息,包括 Google Chrome、Chromium、Opera、Slimjet 和 Vivaldi。”
Prynt Stealer 的功能類似,但沒有內置的 Telegram 命令。
壞人也喜歡自動化
根據英特爾 471 的說法,一些威脅組織還使用 Discord 的內容交付網絡來托管惡意軟件有效負載,而另一些則利用 Telegram 機器人攔截一次性密碼令牌。他們還在構建可以出售訪問權限的服務。機器人的一日訂閱費用僅為 25 美元,而終身訂閱費用為 300 美元。
研究人員寫道:“流行消息平臺的自動化降低了惡意行為者的準入門檻。” “雖然信息竊取者本身不會造成與數據擦除器或勒索軟件等惡意軟件相同的損害,但它們可能是對企業發起有針對性的攻擊的第一步。”
Telegram 也已成為匿名通信的流行選擇,而地下論壇消息服務由管理員監控。Telegram 提供近乎實時的加密通信,如果雙方同時在線并且不會帶來與地下論壇相同的安全風險,從消息傳遞的滯后時間到妥協和數據轉儲的歷史,英特爾 471 的 Carstens說。
網絡犯罪分子還將消息應用程序用作銀行賬戶和支付卡數據等被盜信息以及垃圾短信等服務的市場。
Carstens 說,Telegram 和 Discord 威脅組織的擁抱可能對網絡安全供應商有利。他指出,“在網絡攻擊的形成階段使用的最常見的 TTP [策略、技術和程序] 威脅參與者比破壞性后期階段的威脅參與者更容易識別。通過觀察參與者在 Telegram 上討論的內容,安全團隊執法部門可以在攻擊開始之前將其阻止。”
也就是說,網絡犯罪分子將繼續使用地下論壇,其中一些提供諸如用于建立聲譽的內置評分系統等功能。此外,研究人員寫道,雖然 Telegram 對隱私政策采取了“自由放任的態度”,包括拒絕與執法部門合作,但該公司今年開始加強其在未經同意的情況下刪除平臺上共享的個人數據的政策。
Carstens 說,是否有更多的威脅組織將他們的通信轉移到 Telegram “將取決于 Telegram 如何應對使用該平臺的網絡犯罪分子的涌入”。“額外的監督、內容審核和修改的平臺政策可能會導致網絡犯罪分子在未來尋求替代的消息傳遞平臺。”
