Telegram 和 Discord Bot 提供信息窃取恶意软件

Intel471 研究人员警告用户网络犯罪分子如何将流行的应用程序转化为针对他们的应用程序。

安全供应商 Intel471 的一份新报告揭示了网络犯罪分子如何使用已部署在消息应用程序 Discord 和 Telegram 中的机器人来传播恶意软件并窃取用户凭据。

此外，这些攻击者还针对 Roblox和Minecraft游戏平台进行了类似的攻击。研究人员指出，Discord 的内容交付网络 (CDN) 被积极用于托管恶意软件，因为该平台不对文件托管施加限制。

该报告显示，任何人都可以访问这些文件托管链接，而无需进行身份验证。这使网络犯罪分子可以拥有一个可信的“托管恶意负载的网络域”。

供您参考，在 Discord 和 Telegram 上使用机器人，以便用户可以玩游戏、共享数据和调节频道以消除不需要的内容。但是，Intel471 的研究人员发现这些可用于传递恶意软件。

研究人员发现部署在 Discord 的 CDN 中的一些恶意软件株包括按安装付费恶意软件 (PPI) Discoloader、PrivateLoader、Smokeloader、Agent Tesla、Autohotkey、Raccoon Stealer 、njRAT等等。

机器人从系统中窃取用户信息

研究人员解释说，威胁参与者使用木马恶意软件从连接到应用程序中合法机器人的设备/系统中窃取信息。该恶意软件可以窃取广泛的信息。这包括以下内容：

• 密码
• 书签
• 自动填充数据
• 支付卡数据
• 加密货币钱包
• 浏览器/会话 cookie
• Microsoft Windows 产品密钥
• VPN（虚拟专用网络）客户端登录

值得注意的是，使用机器人在此类平台上传播恶意软件并不是什么新鲜事。去年发布的一份报告解释了 Telegram 机器人如何窃取 OTP（一次性密码）。

谈到 Discord，有大量来自网络安全公司的报告解释了世界上最常用的信使服务之一是如何用于传播恶意软件的。

消息应用已成为攻击者的 C&C 机制

根据 Intel471 的报告，网络骗子使用 Telegram 等消息应用程序作为他们的命令和控制方法。通过这些平台上的机器人功能，该软件可以使用这些应用程序自动从设备发送消息。

研究人员分享了有关用于窃取信息的恶意软件的一些细节。一种恶意软件Blitzed Grabber使用 Discord 中称为 webhook 的自动消息传递功能来传输数据。

另一个被标识为X-Files的恶意软件机器人允许攻击者控制 Telegram 并向机器人发送命令以窃取数据并将其发送到他们选择的任何 Telegram 频道。

机器人还可以窃取一次性密码

如前所述，Intel471 还指出，Astro OTP 威胁组织利用 Telegram 机器人窃取 OTP 令牌和 SMS 验证码以完成2FA（双因素身份验证）。攻击者可以通过简单的命令通过 Telegram 界面直接控制机器人。

一些机器人的租金低至 25 美元/天，终身订阅 300 美元。通过机器人窃取凭据可能会对企业造成毁灭性后果，恶意软件运营商可以轻松发起中间人攻击 ( MiTM )。