Aplicaciones de mensajería aprovechadas como plataforma para la actividad cibercriminal

Los ciberdelincuentes están aprovechando los servicios integrados de aplicaciones de mensajería populares como Telegram y Discord como plataformas preparadas para ayudarlos a realizar su nefasta actividad en campañas persistentes que amenazan a los usuarios, según descubrieron los investigadores.

Los actores de amenazas están aprovechando la naturaleza de funciones múltiples de las aplicaciones de mensajería, en particular sus componentes de creación de contenido y uso compartido de programas, como base para el robo de información, según una nueva investigación de Intel 471.

Específicamente, usan las aplicaciones "para alojar, distribuir y ejecutar varias funciones que, en última instancia, les permiten robar credenciales u otra información de usuarios desprevenidos", escribieron los investigadores en una entrada de blog publicado el martes.

“Si bien las aplicaciones de mensajería como Discord y Telegram no se utilizan principalmente para operaciones comerciales, su popularidad, junto con el aumento del trabajo remoto, significa que un ciberdelincuente tiene una superficie de ataque más grande a su disposición que en años anteriores”, escribieron los investigadores.

Intel 471 identificó tres formas clave en las que los actores de amenazas están aprovechando las funciones integradas de las aplicaciones de mensajería populares para su propio beneficio: almacenar datos robados, alojar cargas útiles de malware y usar bots que realizan su trabajo sucio, dijeron.

Almacenamiento de datos extraídos

Tener una red propia dedicada y segura para almacenar los datos robados de las víctimas desprevenidas del delito cibernético puede ser costoso y llevar mucho tiempo. En cambio, los actores de amenazas están utilizando las funciones de almacenamiento de datos de Discord y Telegram como repositorios para los ladrones de información que en realidad dependen de las aplicaciones para este aspecto de la funcionalidad, según descubrieron los investigadores.

De hecho, el nuevo malware apodado cola de pato que roba datos de los usuarios de Facebook Business se vio recientemente almacenando datos extraídos en un canal de Telegram, y está lejos de ser el único.

Los investigadores de Intel 471 observaron un bot conocido como X-Files que usa comandos de bot dentro de Telegram para robar y almacenar datos, dijeron. Una vez que el malware infecta un sistema, los actores de amenazas pueden deslizar contraseñas, cookies de sesión, credenciales de inicio de sesión y detalles de tarjetas de crédito de navegadores populares, incluidos Google Chrome, Chromium, Opera, Slimjet y Vivaldi, y luego depositar esa información robada "en un canal de Telegram. de su elección”, dijeron los investigadores.

Otro ladrón conocido como Prynt Stealer funciona de manera similar, pero no tiene los comandos integrados de Telegram, agregaron.

Otros ladrones usan Discord como su plataforma de mensajería preferida para almacenar datos robados. Un ladrón observado por Intel 471, conocido como Blitzed Grabber, utiliza la función de webhooks de Discord para depositar datos recopilados por el malware, incluidos datos de autocompletado, marcadores, cookies de navegador, credenciales de clientes VPN, información de tarjetas de pago, billeteras de criptomonedas y contraseñas, dijeron los investigadores. Los webhooks son similares a las API en el sentido de que simplifican la transmisión de mensajes automatizados y actualizaciones de datos desde la máquina de una víctima a un canal de mensajería en particular.

Blitzed Grabber y otros dos ladrones observaron el uso de aplicaciones de mensajería para el almacenamiento de datos, Mercurial Grabber y 44Calibre, también apuntan a las credenciales para las plataformas de juegos Minecraft y Roblox, agregaron los investigadores.

“Una vez que el malware escupe esa información robada en Discord, los actores pueden usarla para continuar con sus propios esquemas o moverse para vender las credenciales robadas en la clandestinidad del cibercrimen”, señalaron los investigadores.

Alojamiento de carga útil

Los actores de amenazas también están aprovechando la infraestructura en la nube de las aplicaciones de mensajería para alojar más que servicios legítimos; también ocultan malware en sus profundidades, según Intel 471.

La red de entrega de contenido (CDN) de Discord ha sido un terreno especialmente fértil para el alojamiento de malware desde 2019 porque los operadores de delitos cibernéticos no imponen restricciones al cargar sus cargas maliciosas allí para el alojamiento de archivos, señalaron los investigadores.

“Los enlaces están abiertos a cualquier usuario sin autenticación, lo que brinda a los actores de amenazas un dominio web de gran reputación para alojar cargas maliciosas”, escribieron los investigadores.

Las familias de malware observadas usando Discord CDN para alojar cargas maliciosas incluyen: PrivateLoader, Colibri, RATA de zona de guerra, cargador de humo, Agent Tesla Stealer y njRAT, entre otros.

Uso de bots para el fraude

Los ciberdelincuentes también están empoderando a los bots de Telegram para que hagan más que ofrecer funciones legítimas a los usuarios, según descubrieron los investigadores. De hecho, Intel 471 ha observado lo que llama un "aumento" en los servicios que se azotan en la clandestinidad del ciberdelito que proporciona acceso a bots que pueden interceptar tokens de contraseña de un solo uso (OTP), que los actores de amenazas pueden convertir en armas para defraudar a los usuarios.

Un bot conocido como Astro OTP brinda a los actores de amenazas acceso tanto a las OTP como a los códigos de verificación del servicio de mensajes cortos (SMS), observaron los investigadores. Los ciberdelincuentes pueden controlar los bots directamente a través de la interfaz de Telegram ejecutando comandos simples, dijeron.

La tarifa actual para Astro OTP en los foros de piratas informáticos es de US$25 por una suscripción de un día o US$300 por una suscripción de por vida, dijeron los investigadores.

[Evento bajo demanda GRATIS: Únase a Zane Bond de Keeper Security en una mesa redonda de Threatpost y aprenda cómo acceder de manera segura a sus máquinas desde cualquier lugar y compartir documentos confidenciales desde su oficina en casa. MIRA AQUÍ.]