Telegram被滥用以窃取加密钱包凭据

发布日期:2022-08-06 23:07    点击次数:116

袭击者应用Echelon信息窃取器瞄准Telegram用户的加密钱包,旨在诈骗加密钱银的新用户或毫无戒心的用户。

他们在一份阐发报告中默示,SafeGuard Cyber第七部份利诱阐发部份的研究人员在10月份检测到一个以加密钱银为重点的Telegram频道上宣布的Echelon样本。

流动中应用的恶意软件旨在从多个音讯通报和文件同享平台窃取痛处,蕴含Discord、Edge、FileZilla、OpenVPN、Outlook以至Telegram本身,以及不少加密钱银钱包,蕴含AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。

据报道,该流动给与一种“撒网并祈祷(spray and pray)”的情势:“痛处恶意软件及其宣布要领,SafeGuard Cyber觉得它不是谐和流动的一部份,而只是针对该频道的新用户或不意识的用户。”

研究人员缔造,袭击者应用“Smokes Night”句柄在频道上传播Echelon,但尚不清楚它的但愿程度。他们写道:“该帖子宛若不是对频道中任何相干音讯的回应。”

他们说,频道上的别的用户宛若没有留心就任何可疑的地方也没有染指个中。然而,研究人员写道,这着实不意味着恶意软件没有抵达用户的动作举措。

他们写道:“我们没有看就任何人对‘Smokes Night’做出回应或对它提出赞扬,但这着实不克不迭证明该频道的用户没有受到净化。”

Telegram音讯应用顺序确凿已成为网络犯罪分子流动的温床,他们行使其受迎接程度和普及的袭击面,经由过程应用古板人、恶意帐户和别的要领在平台上传播恶意软件。

恶意软件阐发

袭击者经由过程名为“present).rar”的.RAR文件将Echelon传递到加密钱银通道,该文件包孕三个文件:“pass–123.txt”,一个包孕密码的良性文本文档;“DotNetZip.dll”,行业资讯一个用于操作.ZIP文件的非恶意类库和器材集,以及“Present.exe”,Echelon痛处窃取顺序的恶意可执行文件。

用.NET编写的有用负载还蕴含几个难以检测或阐发的功用,蕴含两个反调试功用,假定检测到调试器或别的恶意软件阐发器材,登时截至过程,以及应用开源混合器材ConfuserEx。

研究人员终究主见解除了代码的混合,并在发送给Telegram频道用户的Echelon样本的珍重下举行窥察。研究人员写道,他们缔造它包孕域检测,这意味着样本还将查验测验窃取无关受害者拜访过的任何域的数据。报告中包孕了Echelon样本试图瞄准的平台的完备列表。

研究人员写道,恶意软件的别的功用蕴含计算机指纹识别,以及截取受害者古板屏幕截图的才能。他们说,从流动中提取的Echelon样本应用压缩的.ZIP文件将痛处和别的被盗数据以及屏幕截图发送回敕令和掌握服务器。

研究人员指出,幸运的是,Windows Defender检测并删除了Present.exe恶意可执行样本,并收回“#LowFI:HookwowLow”的正告,从而加剧了Echelon对按部就班了防病毒软件的用户所变成的潜伏损伤。

本文翻译自:https://threatpost.com/telegram-steal-crypto-wallet-credentials/177266/如若转载,请注明原文地点。

 



栏目分类



Powered by 【欧冠体育官方入口】 @2013-2022 RSS地图 HTML地图