攻擊者使用Echelon信息竊取器瞄準(zhǔn)Telegram用戶的加密錢包，旨在欺騙加密貨幣的新用戶或毫無戒心的用戶。

他們在一份分析報告中表示，SafeGuard Cyber第七部門威脅分析部門的研究人員在10月份檢測到一個以加密貨幣為重點的Telegram頻道上發(fā)布的Echelon樣本。

活動中使用的惡意軟件旨在從多個消息傳遞和文件共享平臺竊取憑據(jù)，包括Discord、Edge、FileZilla、OpenVPN、Outlook甚至Telegram本身，以及許多加密貨幣錢包，包括AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。

據(jù)報道，該活動采用一種“撒網(wǎng)并祈禱(spray and pray)”的模式：“根據(jù)惡意軟件及其發(fā)布方式，SafeGuard Cyber認(rèn)為它不是協(xié)調(diào)活動的一部分，而只是針對該頻道的新用戶或不熟悉的用戶。”

研究人員發(fā)現(xiàn)，攻擊者使用“Smokes Night”句柄在頻道上傳播Echelon，但尚不清楚它的進展程度。他們寫道：“該帖子似乎不是對頻道中任何相關(guān)消息的回應(yīng)。”

他們說，頻道上的其他用戶似乎沒有注意到任何可疑之處也沒有參與其中。然而，研究人員寫道，這并不意味著惡意軟件沒有到達用戶的設(shè)備。

他們寫道：“我們沒有看到任何人對‘Smokes Night’做出回應(yīng)或?qū)λ岢鐾对V，但這并不能證明該頻道的用戶沒有受到感染。”

Telegram消息應(yīng)用程序確實已成為網(wǎng)絡(luò)犯罪分子活動的溫床，他們利用其受歡迎程度和廣泛的攻擊面，通過使用機器人、惡意帳戶和其他方式在平臺上傳播惡意軟件。

惡意軟件分析

攻擊者通過名為“present).rar”的.RAR文件將Echelon傳送到加密貨幣通道，該文件包含三個文件：“pass–123.txt”，一個包含密碼的良性文本文檔;“DotNetZip.dll”，一個用于操作.ZIP文件的非惡意類庫和工具集，以及“Present.exe”，Echelon憑據(jù)竊取程序的惡意可執(zhí)行文件。

用.NET編寫的有效負(fù)載還包括幾個難以檢測或分析的功能，包括兩個反調(diào)試功能，如果檢測到調(diào)試器或其他惡意軟件分析工具，立即終止進程，以及使用開源混淆工具ConfuserEx。

研究人員最終設(shè)法消除了代碼的混淆，并在發(fā)送給Telegram頻道用戶的Echelon樣本的掩護下進行觀察。研究人員寫道，他們發(fā)現(xiàn)它包含域檢測，這意味著樣本還將嘗試竊取有關(guān)受害者訪問過的任何域的數(shù)據(jù)。報告中包含了Echelon樣本試圖瞄準(zhǔn)的平臺的完整列表。

研究人員寫道，惡意軟件的其他功能包括計算機指紋識別，以及截取受害者機器屏幕截圖的能力。他們說，從活動中提取的Echelon樣本使用壓縮的.ZIP文件將憑據(jù)和其他被盜數(shù)據(jù)以及屏幕截圖發(fā)送回命令和控制服務(wù)器。

研究人員指出，幸運的是，Windows Defender檢測并刪除了Present.exe惡意可執(zhí)行樣本，并發(fā)出“#LowFI:HookwowLow”的警告，從而減輕了Echelon對安裝了防病毒軟件的用戶所構(gòu)成的潛在損害。

本文翻譯自：https://threatpost.com/telegram-steal-crypto-wallet-credentials/177266/如若轉(zhuǎn)載，請注明原文地址。