网络攻击应用Echelon信息窃取器看准Telegram客户的数据加密钱夹,旨在蒙骗加密货币的新用户或没什么疑心的客户。
她们在一份数据分析报告中表明,SafeGuard Cyber第七部门危害剖析单位的分析员工在10月份检验到一个以加密货币为核心的Telegram频道栏目上公布的Echelon样版。
主题活动中采用的恶意程序旨在从好几个消息传递和共享文件服务平台窃取凭证,包含Discord、Edge、FileZilla、OpenVPN、Outlook乃至Telegram自身,及其很多加密货币钱夹,包含AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。
据报道,该主题活动选用一种“撒网捕鱼并祷告(spray and pray)”的方式:“依据恶意程序以及公布方法,SafeGuard Cyber觉得它并不是融洽主题活动的一部分,而仅仅对于该频道栏目的新用户或不了解的客户。”
科学研究工作人员发觉,网络攻击应用“Smokes Night”句柄在频道栏目上散播Echelon,但尚不清楚它的进度水平。她们写到:“该贴子好像并不是对频道栏目中一切有关信息的回复。”
她们说,频道栏目上的别的用户好像并没有注意到一切异常之处都没有参加在其中。殊不知,科学研究工作人员写到,这并不代表着恶意程序沒有达到客户的机器设备。
她们写到:“大家并没有见到所有人对‘Smokes Night’澄清事实或对它明确提出举报,但这并无法证实该频道栏目的客户沒有受到感染。”
Telegram信息应用软件的确已变成互联网犯罪嫌疑人主题活动的苗床,她们使用其火爆的程度和普遍的攻击面,根据应用智能机器人、故意账号和别的方法在网站上散播恶意程序。
恶意软件剖析
网络攻击根据名叫“present).rar”的.RAR文件将Echelon传输到加密货币安全通道,该文件包含三个文档:“pass–123.txt”,一个包括登陆密码的良好文本文件;“DotNetZip.dll”,一个用以实际操作.ZIP文档的非故意类库和工具箱,及其“Present.exe”,Echelon凭证窃取程序流程的故意可执行程序。
用.NET撰写的高效负荷还包含好多个无法检验或剖析的作用,包含2个反调节作用,假如监测到程序调试或其它恶意程序分析工具,马上停止过程,及其应用开源系统搞混专用工具ConfuserEx。
科学研究工作人员最后想方设法清除了源代码的搞混,并在发给Telegram频道栏目客户的Echelon样版的保护下实现观查。科学研究工作人员写到,她们发觉它包括域检验,这代表着样版还将试着窃取相关受害人浏览过的一切域的数据信息。汇报中包括了Echelon样版尝试看准的服务平台的详细目录。
科学研究工作人员写到,恶意程序的别的作用包含电子计算机指纹验证,及其提取受害人设备屏幕截屏的工作能力。她们说,从运动中提炼的Echelon样版应用缩小的.ZIP文档将凭证和别的失窃数据信息及其屏幕截屏推送回指令和操纵网络服务器。
科学研究工作人员强调,幸运的是,Windows Defender检验并删除了Present.exe故意可实行样版,并传出“#LowFI:HookwowLow”的警示,进而缓解了Echelon对安裝了杀毒软件的消费者所产生的潜在性危害。
文中翻譯自:https://threatpost.com/telegram-steal-crypto-wallet-credentials/177266/倘若转截,请标明全文详细地址。