【潛行竊密】Telegram 頻道遭利用作竊取加密錢包憑證途徑
SafeGuard Cyber 第 7 分部威脅分析部門的研究人員,在 10 月份發現一個 Echelon 樣本,被發布到一個討論加密貨幣的 Telegram 頻道。攻擊者使用 Telegram handle「Smokes Night」來傳播惡意的 Echelon 訊息竊取程式,而該程式竊取加密貨幣和其他用戶的憑證。
研究人員發現,攻擊者正在使用 Echelon 信息竊取程式,針對 Telegram 用戶的加密錢包,以欺騙在該平台上的加密貨幣討論頻道的新用戶及毫無戒心的用戶。攻擊者利用的惡意軟件在多個消息傳遞及文件共享平台竊取憑證,包括 Discord、Edge、FileZilla、OpenVPN、Outlook 及 Telegram 本身,以及不同的加密貨幣錢包,包括 AtomicWallet、BitcoinCore、ByteCoin 、Exodus、Jaxx 和Monero。
研究人員發現,攻擊者使用 Telegram handle「Smokes Night」,在頻道上散播 Echelon,但目前尚不清楚其成功程度。他們指出,這些訊息似乎不是對頻道中的訊息作回應。而頻道上的其他用戶似乎沒有注意到任何可疑之處,或者與該條訊息作互動。然而,研究人員指,這並不表示惡意軟件沒有傳達至用戶的裝置。
Telegram 多次被網絡犯罪分子的利用作攻擊平台,透過使用bots、惡意帳戶等方式在平台上發布惡意軟件。攻擊者以名為「present).rar」的 .RAR 檔案將 Echelon 傳送到討論加密貨幣的頻道,內含三個文件:「pass – 123.txt」,一個包含密碼的普通文本文檔; 「DotNetZip.dll」,一個用於操作 .ZIP 檔案的非惡意類庫和工具集;以及「Present.exe」,Echelon 惡意憑證竊取程式的執行檔。
用 .NET 編寫的有效負載還包括幾個難以檢測或分析的功能,包括兩個 debugging 功能,如果檢測到調試器或其他惡意軟件分析工具,將會立即終止程式,以及使用 open-source ConfuserEx 工具。
研究人員最終設法去混淆代碼,並在針對 Telegram 頻道用戶的 Echelon 樣本的底層,進行了對等處理。研究人員表示,他們發現程式包含網域檢測,這意味著樣本還將嘗試竊取有關受害者到訪過的任何網域的數據。該報告中亦包含了 Echelon 樣本試圖針對的平台的完整列表。
研究人員指,惡意軟件的其他功能包括裝置指紋識別,以及具備截取受害者屏幕截圖的能力,從活動中提取的 Echelon 樣本,使用已壓縮的 .ZIP 文件,將憑證和其他被盜數據和屏幕截圖,發送回command-and-control 伺服器。猶幸 Windows Defender 檢測到並刪除 Present.exe 惡意可執行樣本,並將其標示為「#LowFI:HookwowLow」,減輕了 Echelon 對已安裝防病毒軟件的用戶的任何潛在損害。
