Telegram 和 Discord Bot 提供信息竊取惡意軟件

Intel471 研究人員警告用戶網絡犯罪分子如何將流行的應用程序轉化為針對他們的應用程序。

安全供應商 Intel471 的一份新報告揭示了網絡犯罪分子如何使用已部署在消息應用程序 Discord 和 Telegram 中的機器人來傳播惡意軟件并竊取用戶憑據。

此外，這些攻擊者還針對 Roblox和Minecraft游戲平臺進行了類似的攻擊。研究人員指出，Discord 的內容交付網絡 (CDN) 被積極用于托管惡意軟件，因為該平臺不對文件托管施加限制。

該報告顯示，任何人都可以訪問這些文件托管鏈接，而無需進行身份驗證。這使網絡犯罪分子可以擁有一個可信的“托管惡意負載的網絡域”。

供您參考，在 Discord 和 Telegram 上使用機器人，以便用戶可以玩游戲、共享數據和調節頻道以消除不需要的內容。但是，Intel471 的研究人員發現這些可用于傳遞惡意軟件。

研究人員發現部署在 Discord 的 CDN 中的一些惡意軟件株包括按安裝付費惡意軟件 (PPI) Discoloader、PrivateLoader、Smokeloader、Agent Tesla、Autohotkey、Raccoon Stealer 、njRAT等等。

機器人從系統中竊取用戶信息

研究人員解釋說，威脅參與者使用木馬惡意軟件從連接到應用程序中合法機器人的設備/系統中竊取信息。該惡意軟件可以竊取廣泛的信息。這包括以下內容：

• 密碼
• 書簽
• 自動填充數據
• 支付卡數據
• 加密貨幣錢包
• 瀏覽器/會話 cookie
• Microsoft Windows 產品密鑰
• VPN（虛擬專用網絡）客戶端登錄

值得注意的是，使用機器人在此類平臺上傳播惡意軟件并不是什么新鮮事。去年發布的一份報告解釋了 Telegram 機器人如何竊取 OTP（一次性密碼）。

談到 Discord，有大量來自網絡安全公司的報告解釋了世界上最常用的信使服務之一是如何用于傳播惡意軟件的。

消息應用已成為攻擊者的 C&C 機制

根據 Intel471 的報告，網絡騙子使用 Telegram 等消息應用程序作為他們的命令和控制方法。通過這些平臺上的機器人功能，該軟件可以使用這些應用程序自動從設備發送消息。

研究人員分享了有關用于竊取信息的惡意軟件的一些細節。一種惡意軟件Blitzed Grabber使用 Discord 中稱為 webhook 的自動消息傳遞功能來傳輸數據。

另一個被標識為X-Files的惡意軟件機器人允許攻擊者控制 Telegram 并向機器人發送命令以竊取數據并將其發送到他們選擇的任何 Telegram 頻道。

機器人還可以竊取一次性密碼

如前所述，Intel471 還指出，Astro OTP 威脅組織利用 Telegram 機器人竊取 OTP 令牌和 SMS 驗證碼以完成2FA（雙因素身份驗證）。攻擊者可以通過簡單的命令通過 Telegram 界面直接控制機器人。

一些機器人的租金低至 25 美元/天，終身訂閱 300 美元。通過機器人竊取憑據可能會對企業造成毀滅性后果，惡意軟件運營商可以輕松發起中間人攻擊 ( MiTM )。