Telegram 被滥用于窃取加密钱包凭证

研究人员发现，攻击者正在使用 Echelon 信息窃取器瞄准 Telegram 用户的加密钱包，旨在欺骗消息平台上加密货币讨论频道的新用户或毫无戒心的用户。

他们在周四的分析中表示，SafeGuard Cyber 的第 7 分部威胁分析部门的研究人员在 10 月份检测到一个 Echelon 样本发布到一个专注于加密货币的 Telegram 频道。

活动中使用的恶意软件旨在从多个消息传递和文件共享平台窃取凭据，包括 Discord、Edge、FileZilla、OpenVPN、Outlook 甚至 Telegram 本身，以及许多加密货币钱包，包括 AtomicWallet、BitcoinCore、ByteCoin 、出埃及记、Jaxx 和门罗币。

该活动是一种 “喷雾和祈祷” 的努力：“基于恶意软件及其发布方式，SafeGuard Cyber 认为它不是协调活动的一部分，而只是针对该频道的新用户或幼稚用户， ” 据报道。

研究人员发现，攻击者使用句柄 “Smokes Night” 在频道上分发 Echelon，但尚不清楚它的成功程度。他们写道：“该帖子似乎不是对频道中任何周围消息的回应。”

他们说，频道上的其他用户似乎没有注意到任何可疑之处或与该消息互动。然而，研究人员写道，这并不意味着恶意软件没有到达用户的设备。

他们写道：“我们没有看到任何人对‘烟雾之夜’做出回应或抱怨该文件，但这并不能证明该频道的用户没有受到感染。”

Telegram 消息应用程序确实已成为网络犯罪分子的活动温床，他们利用其受欢迎程度和广泛的攻击面，通过使用机器人、恶意帐户和其他方式在平台上分发恶意软件。

恶意软件分析

攻击者通过名为 “present).rar” 的 .RAR 文件将 Echelon 传送到加密货币通道，该文件包含三个文件：“pass – 123.txt”，一个包含密码的良性文本文档；“DotNetZip.dll”，一个用于操作 .ZIP 文件的非恶意类库和工具集；和 “Present.exe”，Echelon 凭据窃取程序的恶意可执行文件。

用 .NET 编写的有效负载还包括一些难以检测或分析的功能，包括两个反调试功能，如果检测到调试器或其他恶意软件分析工具，它们会立即终止进程，以及使用开源软件进行混淆 ConfuserEx 工具。

研究人员最终设法去混淆了代码，并在提供给 Telegram 频道用户的 Echelon 样本的底层进行了对等处理。研究人员写道，他们发现它包含域检测，这意味着样本还将尝试窃取有关受害者访问过的任何域的数据。报告中包含了 Echelon 样本试图针对的平台的完整列表。

研究人员写道，恶意软件的其他功能包括计算机指纹识别，以及截取受害者机器屏幕截图的能力。他们说，从活动中提取的 Echelon 样本使用压缩的 .ZIP 文件将凭据和其他被盗数据和屏幕截图发送回命令和控制服务器。

研究人员指出，幸运的是，Windows Defender 检测并删除了 Present.exe 恶意可执行样本，并将其警告为 “#LowFI:HookwowLow”，从而减轻了 Echelon 对安装了防病毒软件的用户的任何潜在损害。