0
0
Os agentes de ameaças descobriram como usar a funcionalidade e a infraestrutura existentes de aplicativos de mensagens populares, como Telegram e Discord, para hospedar, lançar e executar uma variedade de malware, conforme mostrado por campanhas perigosas em andamento.
De bots que permitem jogos e compartilhamento de conteúdo a redes robustas de entrega de conteúdo (CDNs) ideais para hospedar arquivos maliciosos, essas plataformas estão ajudando a alimentar uma onda de novos ataques, de acordo com a equipe de pesquisa de segurança da Intel 471.
Na maioria das vezes, o malware é usado junto com infostealers facilmente adquiridos para atacar usuários desavisados e roubar suas credenciais, dados preenchidos automaticamente, informações de cartão de pagamento e muito mais.
“O uso de plataformas de mensagens, como Telegram e Discord, permite que os agentes de ameaças se escondam à vista de todos”, explica John Bambenek, principal caçador de ameaças da Netenrich, ao Dark Reading. “Muitas pessoas já usam esses aplicativos, então você não pode simplesmente bloqueá-los (embora você possa bloquear o acesso da API a esses serviços em um ambiente corporativo). monitorar canais e servidores para uso indevido criminoso.”
CDNs abusadas para hospedar malware
Alguns invasores obtiveram sucesso usando CDNs como o Discord para hospedar seu malware, que os analistas apontam não ter restrições para hospedagem de arquivos.
“Os links estão abertos a qualquer usuário sem autenticação, dando aos agentes de ameaças um domínio da Web altamente respeitável para hospedar cargas maliciosas”, de acordo com o relatório sobre ameaças de aplicativos de mensagens. PrivateLoader, Discoloader, ladrão de agente Tesla e Smokeloader são apenas algumas das famílias de malware que os pesquisadores encontraram à espreita na CDN do Discord.
Bots do Telegram roubam tokens OTP
Embora a tática não seja nova, 471 analistas apontam um grupo de ameaças emergente, o Astro OTP. Ele está usando ativamente os bots do Telegram para roubar tokens de senha de uso único (OTP) e códigos de verificação de mensagens SMS usados para autenticação de dois fatores.
“O operador supostamente poderia controlar o bot diretamente através da interface do Telegram, executando comandos simples”, explica o relatório. “O acesso ao bot é extremamente barato, uma assinatura de um dia pode ser comprada por US$ 25, com uma assinatura vitalícia disponível por US$ 300.”
A ameaça dessa tática dura muito além do comprometimento inicial A equipe do Intel 471 alerta que a coleta de credenciais comprometidas e outras informações pode ser um precursor crítico de um ataque corporativo devastador.
Cabe aos usuários estar cientes da segurança das plataformas de mensagens que usam, dizem os 471 pesquisadores , acrescentando que as equipes de segurança corporativa devem dedicar um tempo para se proteger contra esses tipos de ataques man-in-the-middle em aplicativos de mensagens.
“Se esses atores estão roubando credenciais para mais vendas ou ignorando códigos de verificação para obter acesso não autorizado à conta bancária de uma vítima, a facilidade com que os atores de ameaças podem obter essas informações deve servir como um aviso”, Michael DeBolt, diretor de inteligência da Intel 471 , conta a Dark Reading sobre as descobertas de sua equipe de pesquisa. “As equipes de segurança devem instituir autenticação multifator baseada em token sempre que possível e educar sua base de usuários sobre como podem ser os possíveis golpes decorrentes desses esquemas automatizados”.
FONTE: DARK READING