I criminali informatici stanno sfruttando i servizi integrati di app di messaggistica popolari come Telegram e Discord come piattaforme già pronte per aiutarli a svolgere la loro attività nefasta in campagne persistenti che minacciano gli utenti, hanno scoperto i ricercatori.
Gli attori delle minacce stanno sfruttando la natura multi-funzionalità delle app di messaggistica, in particolare i loro componenti di creazione di contenuti e condivisione dei programmi, come base per il furto di informazioni, secondo una nuova ricerca di Intel 471.
In particolare, usano le app "per ospitare, distribuire ed eseguire varie funzioni che alla fine consentono loro di rubare credenziali o altre informazioni da utenti ignari", hanno scritto i ricercatori in un post sul blog pubblicato martedì.
"Mentre le app di messaggistica come Discord e Telegram non sono utilizzate principalmente per le operazioni aziendali, la loro popolarità unita all'aumento del lavoro remoto significa che un criminale informatico ha una superficie di attacco più grande a sua disposizione rispetto agli anni passati", hanno scritto i ricercatori. 
Intel 471 ha identificato tre modi chiave in cui gli attori delle minacce stanno sfruttando le funzionalità integrate delle app di messaggistica popolari per il proprio guadagno: archiviazione di dati rubati, hosting di payload di malware e utilizzo di bot che svolgono il loro lavoro sporco.
Memorizzazione dei dati esfiltrati
Avere una propria rete dedicata e sicura per archiviare i dati rubati a ignare vittime del crimine informatico può essere costoso e richiedere molto tempo. Invece, gli attori delle minacce utilizzano le funzionalità di archiviazione dei dati di Discord e Telegram come repository per i ladri di informazioni che dipendono effettivamente dalle app per questo aspetto della funzionalità, hanno scoperto i ricercatori.
In effetti, il nuovo malware soprannominato Ducktail che ruba dati agli utenti di Facebook Business è stato recentemente visto archiviare dati esfiltrati in un canale Telegram, ed è tutt'altro che l'unico.
I ricercatori di Intel 471 hanno osservato un bot noto come X-Files che utilizza i comandi bot all'interno di Telegram per rubare e archiviare dati. Una volta che il malware infetta un sistema, gli attori delle minacce possono scorrere password, cookie di sessione, credenziali di accesso e dettagli della carta di credito dai browser più diffusi, tra cui Google Chrome, Chromium, Opera, Slimjet e Vivaldi, e quindi depositare le informazioni rubate "in un canale Telegram di loro scelta", hanno detto i ricercatori.
Un altro ladro noto come Prynt Stealer funziona in modo simile, ma non ha i comandi Telegram integrati, hanno aggiunto.
Altri ladri utilizzano Discord come piattaforma di messaggistica preferita per l'archiviazione dei dati rubati. Un ladro osservato da Intel 471, noto come Blitzed Grabber, utilizza la funzione webhook di Discord per depositare i dati sollevati dal malware, inclusi dati di riempimento automatico, segnalibri, cookie del browser, credenziali client VPN, informazioni sulle carte di pagamento, portafogli di criptovaluta e password, hanno detto i ricercatori. I webhook sono simili alle API in quanto semplificano la trasmissione di messaggi automatici e aggiornamenti dei dati dalla macchina di una vittima a un particolare canale di messaggistica.
Blitzed Grabber e altri due ladri osservati utilizzando app di messaggistica per l'archiviazione dei dati – Mercurial Grabber e 44Caliber – prendono di mira anche le credenziali per le piattaforme di gioco Minecraft e Roblox, hanno aggiunto i ricercatori.
"Una volta che il malware sputa le informazioni rubate in Discord, gli attori possono quindi utilizzarlo per continuare i propri schemi o spostarsi per vendere le credenziali rubate sul crimine informatico sotterraneo", hanno osservato i ricercatori.
Payload Hosting
Gli attori delle minacce stanno anche sfruttando l'infrastruttura cloud delle app di messaggistica per ospitare più di servizi legittimi, nascondono anche malware nelle sue profondità, secondo Intel 471.
La rete di distribuzione dei contenuti (CDN) di Discord è stata un terreno particolarmente fertile per l'hosting di malware fin dal 2019 perché gli operatori del crimine informatico non hanno restrizioni quando caricano i loro payload dannosi lì per l'hosting di file, hanno osservato i ricercatori.
"I collegamenti sono aperti a qualsiasi utente senza autenticazione, offrendo agli attori delle minacce un dominio Web altamente affidabile per ospitare payload dannosi", hanno scritto i ricercatori.
Le famiglie di malware osservate utilizzando Discord CDN per ospitare payload dannosi includono: PrivateLoader, Colibri, Warzone RAT, Smokeloader, Agent Tesla stealer e njRAT, tra gli altri.
Utilizzo dei bot per le frodi
I criminali informatici stanno anche consentendo ai bot di Telegram di fare di più che offrire funzionalità legittime agli utenti, hanno scoperto i ricercatori. In effetti, Intel 471 ha osservato quello che definisce un "aumento" dei servizi frustati sul crimine informatico sotterraneo che forniscono accesso ai bot in grado di intercettare i token OTP (one-time password), che gli attori delle minacce possono utilizzare come arma per frodare gli utenti.
Un bot noto come Astro OTP fornisce agli attori delle minacce l'accesso sia alle OTP che ai codici di verifica del servizio di messaggi brevi (SMS), hanno osservato i ricercatori. I criminali informatici possono controllare i bot direttamente attraverso l'interfaccia di Telegram eseguendo semplici comandi, hanno detto.
L'attuale tariffa corrente per Astro OTP sui forum degli hacker è di $ 25 per un abbonamento di un giorno o $ 300 per un abbonamento a vita, hanno detto i ricercatori.
[Evento on-demand GRATUITO: unisciti a Zane Bond di Keeper Security in una tavola rotonda di Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio domestico. GUARDA QUI.]