Telegram и Discord все чаще используются во вредоносных атаках

Telegram и Discord все чаще используются во вредоносных атаках

Telegram и Discord все чаще используются во вредоносных атаках

Эксперты Intel 471 фиксируют рост популярности мессенджеров у авторов вредоносных атак. Злоумышленники используют сервисы и облачную инфраструктуру Telegram и Discord, чтобы спрятать свои операции от пытливых глаз.

И та, и другая платформы имеют широкую аудиторию, доступ к ним можно заблокировать только на уровне корпоративной сети. А у самих веб-сервисов не хватает штатных единиц, чтобы мониторить каналы и серверы на предмет злоупотреблений.

Операторы вредоносных программ этим пользуются и зачастую хранят полезную нагрузку в CDN-сети Discord — там нет ограничений на размещение файлов, и доступ не требует аутентификации. На этом хостинге исследователи обнаружили множество различных зловредов, в том числе инфостилеры Agent Tesla и Raccoon, загрузчик Smokeloader, трояны Amadey и njRAT.

Использование ботов Telegram — тоже известная тактика киберпреступников. В частности, ее применяет относительно новая APT-группа, которую в Intel 471 нарекли Astro OTP, — для автоматизации кражи одноразовых паролей и 2FA-кодов, открывающих доступ к банковским аккаунтам.

API-интерфейс Telegram используют в основном инфостилеры (Raccoon, CopperStealer, X-Files, Prynt Stealer), реже — шифровальщики. В Discord для автоматизации предусмотрены вебхуки; эта возможность приглянулась Blitzed Grabber и KurayStealer.

«На что нацелены вредоносные атаки — кражу учеток на продажу или кодов верификации для обхода ограничений на доступ к счетам жертв, в конце концов неважно, — заявил в комментарии для Dark Reading представитель Intel 471. — Главное — это легкость, с которой злоумышленник может получить такую информацию. ИБ-командам следует установить многофакторную аутентификацию на базе токенов везде, где возможно, и постоянно напоминать подопечным пользователям о мошенничестве и других печальных последствиях, к которым может привести подобная автоматизация».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Россиянам в Telegram рассылают вредоносные APK от имени Красного Креста

Мошенники распространяют в Telegram вредоносные APK с поддельных аккаунтов Международного Комитета Красного Креста (МККК). Судя по тексту сообщений и названиям файлов, рассылка ориентирована на семьи участников СВО.

Адресату предлагают подать заявку на поиск пропавшего без вести военнослужащего. Имена вредоносных аттачей варьируются: список военнопленных.apk, приложение Красного Креста.apk, фотоальбомы пленных.apk и т. п.

 

МККК напоминает о том, что скачивать присланные незнакомцем файлы опасно: это может привести к взлому профилей в соцсетях, банковских приложений, а также к утечке персональных данных. Единственный русскоязычный аккаунт международной организации в Telegram — @mkkk_ru.

Рассылки Android-вредоносов в популярном мессенджере нередки. Использующие социальную инженерию мошенники могут выдать такого зловреда за фото, видео, мод приложения или игры.

Главное в таких случаях — не поддаваться первому порыву и сохранять бдительность. В противном случае можно утратить контроль не только над смартфоном, но и над своими счетами в банках.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru