研究人員發現，網絡犯罪分子正在利用Telegram和Discord等流行消息應用程序的內置服務作為現成平臺，以幫助他們在威脅用戶的持續活動中執行一些不良活動。

根據英特爾471的最新研究，威脅行為者正在利用消息應用程序的多功能特性——特別是它們的內容創建和程序共享組件——作為信息竊取的基礎。

具體來說，他們使用這些應用程序“托管、分發和執行各種功能，最終使他們能夠從毫無戒心的用戶那里竊取憑據或其他信息，”研究人員在周二發表的一篇博客文章中寫道。

研究人員寫道：“雖然Discord和Telegram等消息應用程序并非主要用于業務運營，但它們的廣泛運用，再加上遠程工作的興起，讓網絡犯罪分子擁有比過去幾年更大的攻擊面。”

他們說，英特爾471確定了威脅行為者利用流行消息傳遞應用程序的內置功能謀取利益的三種關鍵方式：存儲被盜數據、托管惡意軟件有效負載以及使用執行其入侵工作的機器人。

存儲泄露的數據

使用自己的專用且安全的網絡來存儲從毫無戒心的網絡犯罪受害者那里竊取的數據，可能需要較高的經濟成本和時間成本。研究人員發現，威脅參與者正在使用Discord和Telegram的數據存儲功能作為信息竊取者的存儲庫，這些信息竊取者實際上依賴于應用程序來實現這方面的功能。

事實上，最近發現一種名為Ducktail的新型惡意軟件從Facebook商業用戶那里竊取數據，并將泄露的數據存儲在一個Telegram頻道中，而且這并非唯一的案例。

他們說，英特爾471的研究人員觀察到一個名為X-Files的機器人，它使用Telegram中的機器人命令來竊取和存儲數據。一旦惡意軟件感染了系統，攻擊者就可以從流行的瀏覽器（包括谷歌瀏覽器、Chromium、Opera、Slimjet和Vivaldi）上刷取密碼、會話cookie、登錄憑據和信用卡詳細信息，然后將竊取的信息“存入他們選擇的Telegram頻道”，研究人員說。

他們補充說，另一個被稱為Prynt Stealer的竊取程序以類似的方式運行，但沒有內置的Telegram命令。

其他竊取者使用Discord作為存儲被盜數據的首選消息傳遞平臺。研究人員表示，英特爾471觀察到的一個被稱為Blitzed Grabber的竊取者使用Discord的webhook功能存儲惡意軟件提取的數據，包括自動填充數據、書簽、瀏覽器cookie、VPN客戶端憑據、支付卡信息、加密貨幣錢包和密碼。Webhook與API類似，因為它們簡化了從受害者機器到特定消息通道的自動消息和數據更新的傳輸。

研究人員補充說，Blitzed Grabber和另外兩名使用信息應用程序進行數據存儲的盜竊者——Mercurial Grabber和44Calible——也瞄準了Minecraft和Roblox游戲平臺的憑據。

研究人員指出：“一旦惡意軟件將竊取的信息傳回Discord，攻擊者就可以使用它來繼續他們自己的計劃，或者在地下網絡犯罪中出售被盜的憑據。”

有效負載托管

據英特爾471稱，威脅參與者還利用消息傳遞應用程序的云基礎設施來托管更多合法服務——他們還將惡意軟件隱藏在其深處。

研究人員指出，自2019年以來，Discord的內容交付網絡（CDN）一直是惡意軟件托管的肥沃土壤，因為網絡犯罪運營商在上傳惡意有效負載以進行文件托管時沒有任何限制。

研究人員寫道：“這些鏈接對任何未經身份驗證的用戶開放，為威脅行為者提供了一個信譽良好的網絡域來托管惡意負載。”

觀察到使用Discord CDN托管惡意負載的惡意軟件系列包括：PrivateLoader、Colibri、Warzone RAT、Smokeloader、Agent Tesla Stealer和njRAT等。

使用機器人進行欺詐

研究人員發現，網絡犯罪分子還使Telegram機器人能夠做的不僅僅是向用戶提供合法功能。事實上，英特爾471已經觀察到它所稱的針對地下網絡犯罪的服務出現了“上升”，這些服務提供了對機器人的訪問，這些機器人可以攔截一次性密碼令牌，威脅者可以利用這些令牌來欺騙用戶。

研究人員觀察到，一種名為Astro OTP的機器人使威脅參與者可以訪問OTP和短信服務（SMS）驗證碼。他們說，網絡犯罪分子可以通過執行簡單的命令直接通過Telegram界面控制機器人。

研究人員表示，目前在黑客論壇上，Astro OTP現行的訂閱價格為25美元每天或300美元終身。

本文翻譯自：https://threatpost.com/messaging-apps-cybercriminals/180303/如若轉載，請注明原文地址。