消息應用程序被用作網絡犯罪活動的平臺

內置的 Telegram 和 Discord 服務是存儲被盜數據、托管惡意軟件和將機器人用于邪惡目的的沃土。

研究人員發現，網絡犯罪分子正在利用 Telegram 和 Discord 等流行消息應用程序的內置服務作為現成平臺，幫助他們在威脅用戶的持續活動中執行邪惡活動。

根據英特爾 471 的最新研究，威脅行為者正在利用消息應用程序的多功能特性——特別是它們的內容創建和程序共享組件——作為信息竊取的基礎。

具體來說，他們使用這些應用程序“托管、分發和執行各種功能，最終使他們能夠從毫無戒心的用戶那里竊取憑據或其他信息，”研究人員在周二發表的一篇博客文章中寫道。

研究人員寫道：“雖然 Discord 和 Telegram 等消息應用程序并非主要用于業務運營，但它們的受歡迎程度以及遠程工作的興起意味著網絡犯罪分子擁有比過去幾年更大的攻擊面。”

他們說，英特爾 471 確定了威脅行為者利用流行消息傳遞應用程序的內置功能謀取利益的三種關鍵方式：存儲被盜數據、托管惡意軟件有效負載以及使用執行其骯臟工作的機器人。

存儲泄露的數據

擁有自己的專用且安全的網絡來存儲從毫無戒心的網絡犯罪受害者那里竊取的數據可能既昂貴又耗時。研究人員發現，威脅行為者正在使用 Discord 和 Telegram 的數據存儲功能作為信息竊取者的存儲庫，這些信息竊取者實際上依賴于應用程序來實現這方面的功能。

事實上，最近發現一種名為 Ducktail的新型惡意軟件從 Facebook 商業用戶那里竊取數據，將泄露的數據存儲在 Telegram 頻道中，而且它遠非唯一。

他們說，英特爾 471 的研究人員觀察到一個名為 X-Files 的機器人，它使用 Telegram 中的機器人命令來竊取和存儲數據。一旦惡意軟件感染了系統，攻擊者就可以從流行的瀏覽器（包括谷歌瀏覽器、Chromium、Opera、Slimjet 和 Vivaldi）上刷密碼、會話 cookie、登錄憑據和信用卡詳細信息，然后將竊取的信息“存入 Telegram 頻道”他們的選擇，”研究人員說。

他們補充說，另一個被稱為 Prynt Stealer 的竊取程序以類似的方式運行，但沒有內置的 Telegram 命令。

其他竊取者使用 Discord 作為存儲被盜數據的首選消息傳遞平臺。研究人員表示，英特爾 471 觀察到的一個被稱為 Blitzed Grabber 的竊取者使用 Discord 的 webhook 功能存儲惡意軟件提取的數據，包括自動填充數據、書簽、瀏覽器 cookie、VPN 客戶端憑據、支付卡信息、加密貨幣錢包和密碼。Webhook 類似于 API，因為它們簡化了從受害者機器到特定消息通道的自動消息和數據更新的傳輸。

研究人員補充說，Blitzed Grabber 和另外兩個竊取者使用消息應用程序進行數據存儲——Mercurial Grabber 和 44Caliber——也針對 Minecraft 和 Roblox 游戲平臺的憑據。

研究人員指出：“一旦惡意軟件將竊取的信息吐回 Discord，攻擊者就可以使用它來繼續他們自己的計劃，或者在地下網絡犯罪中出售被盜的憑據。”

有效負載托管

據英特爾 471 稱，威脅參與者還利用消息傳遞應用程序的云基礎設施來托管更多合法服務——它們還將惡意軟件隱藏在其深處。

研究人員指出，自 2019 年以來，Discord 的內容交付網絡 (CDN) 一直是惡意軟件托管的肥沃土壤，因為網絡犯罪運營商在上傳惡意有效負載以進行文件托管時沒有任何限制。

研究人員寫道：“這些鏈接對任何未經身份驗證的用戶開放，為威脅行為者提供了一個信譽良好的網絡域來托管惡意負載。”

觀察到使用 Discord CDN 托管惡意負載的惡意軟件系列包括：PrivateLoader、Colibri、Warzone RAT、Smokeloader、 Agent Tesla竊取器和 njRAT 等。

使用機器人進行欺詐

研究人員發現，網絡犯罪分子還使 Telegram 機器人能夠做的不僅僅是向用戶提供合法功能。事實上，英特爾 471 已經觀察到它所謂的“上升”服務被鞭打在地下網絡犯罪中，這些服務提供對可以攔截一次性密碼 (OTP) 令牌的機器人的訪問，威脅者可以利用這些令牌來欺騙用戶。

研究人員觀察到，一種名為 Astro OTP 的機器人使威脅參與者可以訪問 OTP 和短信服務 (SMS) 驗證碼。他們說，網絡犯罪分子可以通過執行簡單的命令直接通過 Telegram 界面控制機器人。

研究人員表示，目前在黑客論壇上，Astro OTP 的現行價格為 25 美元一日訂閱或 300 美元終身訂閱。