消息应用程序被用作网络犯罪活动的平台

内置的 Telegram 和 Discord 服务是存储被盗数据、托管恶意软件和将机器人用于邪恶目的的沃土。

研究人员发现，网络犯罪分子正在利用 Telegram 和 Discord 等流行消息应用程序的内置服务作为现成平台，帮助他们在威胁用户的持续活动中执行邪恶活动。

根据英特尔 471 的最新研究，威胁行为者正在利用消息应用程序的多功能特性——特别是它们的内容创建和程序共享组件——作为信息窃取的基础。

具体来说，他们使用这些应用程序“托管、分发和执行各种功能，最终使他们能够从毫无戒心的用户那里窃取凭据或其他信息，”研究人员在周二发表的一篇博客文章中写道。

研究人员写道：“虽然 Discord 和 Telegram 等消息应用程序并非主要用于业务运营，但它们的受欢迎程度以及远程工作的兴起意味着网络犯罪分子拥有比过去几年更大的攻击面。”

他们说，英特尔 471 确定了威胁行为者利用流行消息传递应用程序的内置功能谋取利益的三种关键方式：存储被盗数据、托管恶意软件有效负载以及使用执行其肮脏工作的机器人。

存储泄露的数据

拥有自己的专用且安全的网络来存储从毫无戒心的网络犯罪受害者那里窃取的数据可能既昂贵又耗时。研究人员发现，威胁行为者正在使用 Discord 和 Telegram 的数据存储功能作为信息窃取者的存储库，这些信息窃取者实际上依赖于应用程序来实现这方面的功能。

事实上，最近发现一种名为 Ducktail的新型恶意软件从 Facebook 商业用户那里窃取数据，将泄露的数据存储在 Telegram 频道中，而且它远非唯一。

他们说，英特尔 471 的研究人员观察到一个名为 X-Files 的机器人，它使用 Telegram 中的机器人命令来窃取和存储数据。一旦恶意软件感染了系统，攻击者就可以从流行的浏览器（包括谷歌浏览器、Chromium、Opera、Slimjet 和 Vivaldi）上刷密码、会话 cookie、登录凭据和信用卡详细信息，然后将窃取的信息“存入 Telegram 频道”他们的选择，”研究人员说。

他们补充说，另一个被称为 Prynt Stealer 的窃取程序以类似的方式运行，但没有内置的 Telegram 命令。

其他窃取者使用 Discord 作为存储被盗数据的首选消息传递平台。研究人员表示，英特尔 471 观察到的一个被称为 Blitzed Grabber 的窃取者使用 Discord 的 webhook 功能存储恶意软件提取的数据，包括自动填充数据、书签、浏览器 cookie、VPN 客户端凭据、支付卡信息、加密货币钱包和密码。Webhook 类似于 API，因为它们简化了从受害者机器到特定消息通道的自动消息和数据更新的传输。

研究人员补充说，Blitzed Grabber 和另外两个窃取者使用消息应用程序进行数据存储——Mercurial Grabber 和 44Caliber——也针对 Minecraft 和 Roblox 游戏平台的凭据。

研究人员指出：“一旦恶意软件将窃取的信息吐回 Discord，攻击者就可以使用它来继续他们自己的计划，或者在地下网络犯罪中出售被盗的凭据。”

有效负载托管

据英特尔 471 称，威胁参与者还利用消息传递应用程序的云基础设施来托管更多合法服务——它们还将恶意软件隐藏在其深处。

研究人员指出，自 2019 年以来，Discord 的内容交付网络 (CDN) 一直是恶意软件托管的肥沃土壤，因为网络犯罪运营商在上传恶意有效负载以进行文件托管时没有任何限制。

研究人员写道：“这些链接对任何未经身份验证的用户开放，为威胁行为者提供了一个信誉良好的网络域来托管恶意负载。”

观察到使用 Discord CDN 托管恶意负载的恶意软件系列包括：PrivateLoader、Colibri、Warzone RAT、Smokeloader、 Agent Tesla窃取器和 njRAT 等。

使用机器人进行欺诈

研究人员发现，网络犯罪分子还使 Telegram 机器人能够做的不仅仅是向用户提供合法功能。事实上，英特尔 471 已经观察到它所谓的“上升”服务被鞭打在地下网络犯罪中，这些服务提供对可以拦截一次性密码 (OTP) 令牌的机器人的访问，威胁者可以利用这些令牌来欺骗用户。

研究人员观察到，一种名为 Astro OTP 的机器人使威胁参与者可以访问 OTP 和短信服务 (SMS) 验证码。他们说，网络犯罪分子可以通过执行简单的命令直接通过 Telegram 界面控制机器人。

研究人员表示，目前在黑客论坛上，Astro OTP 的现行价格为 25 美元一日订阅或 300 美元终身订阅。