Os pesquisadores descobriram que os cibercriminosos estão usando os serviços de aplicativos de mensagens populares, como Telegram e Discord, como plataformas para realizar suas más intenções em campanhas contínuas que colocam os usuários em risco.
Os criadores de ameaças estão explorando a natureza versátil dos aplicativos de mensagem, em especial seus elementos de produção de conteúdo e compartilhamento de programas, como fonte para o roubo de dados, de acordo com as novas descobertas da Intel 471.
Especificamente, os aplicativos são usados para hospedar, distribuir e executar várias tarefas que, no final, deixam os cibercriminosos com as credenciais ou qualquer outra informação de usuários desinformados, segundo um post publicado na terça-feira.
Enquanto os aplicativos de mensagem, entre eles o Discord e o Telegram, não são primariamente destinados a operações comerciais, sua expansão, aliada ao aumento do trabalho remoto, significa que os criminosos virtuais possuem um maior número de opções de ataque em relação aos últimos anos, apontaram os estudiosos.
A Intel 471 descobriu três formas distintas na qual os cibercriminosos têm aproveitado os serviços de mensagens populares para seu próprio benefício: armazenar dados roubados, obter cargas maliciosas e usar bots para realizar suas atividades ilícitas, afirmou.
Manuseio dos dados roubados
Ao invés de gastar tempo e dinheiro para ter uma rede dedicada e segura para conter informação roubada de inocentes, criminosos cibernéticos estão usando serviços de armazenamento de dados como os de Discord e Telegram como repositórios para programas maliciosos que dependem desses aplicativos para essa função, segundo os estudos feitos por pesquisadores.
Realmente, o recém-descoberto Ducktail, um vírus que extrai dados dos usuários do Facebook Business, foi flagrado armazenando informações furtadas em uma sala do Telegram, e não é o único.
Os cientistas da Intel 471 descobriram um bot chamado X-Files que usa instruções maliciosas no Telegram para apropriar e armazenar dados, disseram. Se o malware infectar um sistema, os atores de ameaças podem roubas senhas, cookies de sessão, credenciais de login e detalhes de cartão de crédito, incluindo a partir do Google Chrome, Chromium, Opera, Slimjet e Vivaldi, e depois transmitir essas informações roubadas para um canal do Telegram por sua escolha, explicaram os pesquisadores.
Prynt Stealer, um outro ladrão, opera de maneira similar, mas eles acrescentaram a capacidade de usar comandos de Telegram.
Outros ladrões estão usando Discord como sua plataforma de mensagens preferida para armazenar informações roubadas. O Blitzed Grabber, observado pela Intel 471, usa a funcionalidade de webhooks da Discord para depositar informações obtidas por meio de malware, como dados de preenchimento automático, marcadores, cookies de navegador, credenciais de cliente VPN, detalhes do cartão de pagamento, carteiras de criptomoedas e senhas, explicaram os pesquisadores. Webhooks são semelhantes às APIs, pois facilitam a transferência de mensagens automatizadas e atualizações de dados de uma máquina de uma vítima para determinado canal de mensagens.
Os pesquisadores descobriram que o Blitzed Grabber, assim como os outros dois roubos, divide senhas para serviços relacionados aos jogos Minecraft e Roblox. Além disso, os mesmos estavam usando aplicativos de mensagens para armazenar os dados roubados.
Uma vez que os spits de malware capturam os dados e os encaminham de volta para o Discord, os cibercriminosos podem usar suas credenciais roubadas para perpetuar seus próprios planos ou para vender os dados adquiridos no mercado negro da internet, de acordo com os cientistas.
Alojamento de carga útil
Atores maliciosos estão aproveitando a infraestrutura de mensagens baseadas na nuvem para hospedar mais do que somente serviços legítimos – eles têm usado essa infraestrutura para ocultar malware, segundo a Intel 471.
A capacidade da Discord para hospedar conteúdo tem sido utilizada por criminosos cibernéticos desde 2019, pois eles não têm limitações quanto ao carregamento de seus materiais maliciosos para armazenamento de arquivos, de acordo com os especialistas.
Qualquer pessoa pode acessar os links sem necessidade de autenticação, o que gera um ambiente web de grande credibilidade para os atacantes hospedarem seus conteúdos maliciosos, de acordo com o que os pesquisadores relataram.
As famílias de programas maliciosos detectadas usando o Discord CDN para a transmissão de cargas maliciosas consistem em PrivateLoader, Colibri, Warzone RAT, Smokeloader, Agent Tesla Stealer e njRAT, assim como outros.
Nunca é uma boa ideia utilizar bots para fraudar.
Os pesquisadores descobriram que os cibercriminosos estão aprimorando seus bots do Telegram para fazer mais do que apenas oferecer recursos legítimos aos usuários. A Intel 471 foi testemunha de um aumento nos serviços de roubo cibernético oferecidos no crime subterrâneo, fornecendo acesso a bots que podem capturar tokens de senha única (OTP), permitindo que os atores de ameaça se equipem para defraudar usuários.
Um robô conhecido como Astro OTP oferece acesso a atores de ameaça para ambos os protocolos de transferência de mensagem (OTP) e códigos de verificação de serviço de mensagem curta (SMS). Estes foram observados pesquisados. Os criminosos cibernéticos podem controlar os bots diretamente por meio da interface do Telegram, executando comandos simples, de acordo com o que foi informado.
Os cientistas observaram que a tarifa para Astro OTP nos fóruns de hackers é de US$ 25 para um dia de acesso ou US$ 300 para uma assinatura vitalícia.
Participe de um evento gratuito a pedido: participe da Mesa Redonda do Threatpost com Zane Bond, da Keeper Security, para aprender como acessar seus computadores de qualquer lugar e compartilhar documentos confidenciais do seu escritório a partir de casa.
Editar e compartilhar este artigo.
- O Governo Federal divulgou novas iniciativas a serem tomadas para conter a disseminação do coronavírus.
- Sinceramente, queria lhe pedir um favor.
- Malware é um programa prejudicial que pode ser usado para apropriar-se de dados confidenciais.
