Telegram bị lạm dụng để lấy cắp thông tin đăng nhập ví tiền điện tử

Tác giả: Elizabeth Montalbano, threatpost.com

Các nhà nghiên cứu cho biết những kẻ tấn công sử dụng Telegram “Smokes Night” để phát tán phần mềm Echelon độc hại, chuyên đánh cắp thông tin đăng nhập tiền điện tử và các tài khoản người dùng khác, các nhà nghiên cứu cho biết.

Các nhà nghiên cứu đã phát hiện ra rằng những kẻ tấn công đang nhắm mục tiêu vào ví tiền điện tử của người dùng Telegram với malware Echelon, trong một nỗ lực nhằm lừa đảo người dùng mới hoặc bất cẩn của kênh thảo luận Telegram về tiền điện tử.

Các nhà nghiên cứu tại đơn vị phân tích mối đe dọa của SafeGuard Cyber’s Division Seven đã phát hiện thấy một mẫu Echelon được đăng lên kênh Telegram tập trung vào tiền điện tử vào tháng 10, họ cho biết trong một phân tích hôm thứ Năm.

Phần mềm độc hại được sử dụng trong chiến dịch nhằm mục đích đánh cắp thông tin đăng nhập từ nhiều nền tảng nhắn tin và chia sẻ tệp, bao gồm Discord, Edge, FileZilla, OpenVPN, Outlook và thậm chí chính Telegram, cũng như từ một số ví tiền điện tử, bao gồm AtomicWallet, BitcoinCore, ByteCoin , Exodus, Jaxx và Monero.

Chiến dịch là một nỗ lực “Spray và Pray”: “Dựa trên phần mềm độc hại và cách thức mà nó được phát tán, SafeGuard Cyber tin rằng nó không phải là một phần của chiến dịch phối hợp và chỉ nhắm mục tiêu đến những người dùng mới hoặc chưa hiểu biết nhiều, " Theo bảng báo cáo.

Những kẻ tấn công đã sử dụng “Smokes Night” để phân phát Echelon trên kênh, nhưng không rõ mức độ thành công của nó, các nhà nghiên cứu nhận thấy. “Bài đăng dường như không có phản hồi cho bất kỳ thông báo nào trong kênh,” họ viết.

Những người dùng khác trên kênh dường như không nhận thấy bất kỳ điều gì đáng ngờ hoặc tương tác với tin nhắn, họ nói. Tuy nhiên, điều này không có nghĩa là phần mềm độc hại không tiếp cận được thiết bị của người dùng, các nhà nghiên cứu cho biết.

“Chúng tôi không thấy bất kỳ ai phản hồi về‘ Smokes Night ’hoặc phàn nàn về tệp này, mặc dù điều này không chứng minh rằng người dùng của kênh không bị lây nhiễm”, họ viết.

Ứng dụng nhắn tin Telegram thực sự đã trở thành một điểm nóng hoạt động của tội phạm mạng, những kẻ đã tận dụng sự phổ biến và bề mặt tấn công rộng rãi của nó bằng cách sử dụng bot, tài khoản độc hại và các phương tiện khác để phát tán phần mềm độc hại trên nền tảng.

Phân tích phần mềm độc hại
Những kẻ tấn công đã gửi Echelon đến kênh tiền điện tử trong một tệp .RAR có tiêu đề “present.rar” bao gồm ba tệp: “pass-123.txt”, một tài liệu văn bản lành tính có chứa mật khẩu; “DotNetZip.dll,” một thư viện lớp không độc hại và bộ công cụ để thao tác các tệp .ZIP; và “Present.exe”, tệp thực thi độc hại dành cho kẻ đánh cắp thông tin xác thực Echelon.

Payload, được viết bằng .NET, cũng bao gồm một số tính năng gây khó khăn cho việc phát hiện hoặc phân tích, bao gồm hai chức năng chống gỡ lỗi ngay lập tức kết thúc quá trình nếu trình gỡ lỗi hoặc các công cụ phân tích phần mềm độc hại khác được phát hiện và làm xáo trộn bằng cách sử dụng mã nguồn mở Công cụ ConfuserEx.

Các nhà nghiên cứu cuối cùng đã tìm cách giải mã và xem xét ngang hàng dưới lớp vỏ của mẫu Echelon được cung cấp cho người dùng kênh Telegram. Họ phát hiện ra rằng nó có chứa tính năng phát hiện miền, có nghĩa là mẫu cũng sẽ cố gắng đánh cắp dữ liệu liên quan đến bất kỳ miền nào mà nạn nhân đã truy cập, các nhà nghiên cứu viết. Danh sách đầy đủ các nền tảng mà mẫu Echelon cố gắng nhắm mục tiêu được bao gồm trong báo cáo.

Các tính năng khác của phần mềm độc hại bao gồm lấy dấu vân tay máy tính, cũng như khả năng chụp ảnh màn hình máy của nạn nhân, các nhà nghiên cứu viết. Họ cho biết mẫu Echelon được loại bỏ khỏi chiến dịch sẽ gửi thông tin đăng nhập và dữ liệu bị đánh cắp khác và ảnh chụp màn hình trở lại máy chủ điều khiển và kiểm soát bằng tệp .ZIP được nén.

May mắn thay, Bộ bảo vệ Windows phát hiện và xóa mẫu thực thi độc hại Present.exe và cảnh báo nó là ‘#LowFI: HookwowLow, giảm thiểu bất kỳ thiệt hại tiềm ẩn nào từ Echelon đối với người dùng có cài đặt phần mềm chống vi-rút, các nhà nghiên cứu lưu ý.

Giải pháp tường lửa thông minh của WatchGuard được xây dựng theo cấu trúc đa lớp, phân tầng kết hợp trí thông minh nhân tạo và máy học giúp kiểm soát và ngăn chặn tối đa các tác nhân gây hại cho hệ thống mạng một cách tự động. Kết hợp phiên bản end-point Panda Adaptive Defense 360 bảo vệ máy tính người dùng khõi các phần mềm độc hại gia tăng thêm khả năng chống chọi với các mối đe dọa ngày càng tăng.

Hơn nữa, tích hợp các công nghệ bảo mật hàng đầu trong một giải pháp duy nhất mang lại sự trải nghiệm tối ưu về mặt sử dụng và chi phí đầu tư.

Hỗ trợ các nền tảng từ phần cứng, ảo hóa đến cloud mang lại sự linh hoạt cho nhiều loại hình dịch vụ.

Nền tảng xác thực đa lớp MFA thông qua mobile là một bước tiến nổi bật của WatchGuard không chỉ giúp đảm bảo an toàn cho tài khoản người dùng khi sử dụng dịch vụ cloud, đăng nhập máy tính, kết nối VPN và nhiều dịch vụ khác.




Nhà phân phối giải pháp Firewall WatchGuard:

ITMAP ASIA JSC

555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM

Email: [email protected]

Đt: 028 5404 0717 - 5404 0799