Site icon Kiber.ba

Kako moderni maliciozni softver iskorištava Discord i Telegram

Kako moderni zlonamjerni softver iskorištava Discord i Telegram za zlonamjerne aktivnosti-Kiber.ba

Kako moderni zlonamjerni softver iskorištava Discord i Telegram za zlonamjerne aktivnosti-Kiber.ba

Iako su Discord i Telegram neki od najpopularnijih komunikacijskih kanala danas, oni se ne koriste samo za ćaskanje i razmjenu poruka. Sve je uobičajenije da sajber napadači iskorištavaju ove platforme kao dio svojih malicioznih aktivnosti.

Ove usluge, prvobitno dizajnirane za igrače, zajednice i sigurnu komunikaciju, nažalost su privukle pažnju sajber kriminalaca zbog njihove široke upotrebe, funkcija anonimnosti i lakoće s kojom se mogu integrisati u zlonamjerne operacije.

Napadači sada rutinski koriste Discord i Telegram kao komandnu i kontrolnu (C2) infrastrukturu za upravljanje malicioznim softverom, distribuciju zlonamjernog sadržaja i eksfiltriranje osjetljivih podataka iz narušenih sistema.

Zašto sajber napadači koriste Discord i Telegram

Napadači sve više koriste Discord i Telegram u svojim napadima jer ove platforme nude funkcije koje su idealne za zlonamjerne aktivnosti.

Međutim, sada je lovcima na maliciozni softver lakše identifikovati prijetnje koje potiču od Discorda i Telegrama uz pomoć alata za cyber sigurnost poput interaktivnih sandboxova. Ovi alati im omogućavaju da posmatraju ponašanje svake veze ili fajla u kontrolisanom okruženju, što omogućava razvoj efikasnih rešenja za zaustavljanje širenja prijetnje.

Kako maliciozni softver može koristiti Discord i Telegram

Napadači i maliciozni softver mogu iskoristiti Discord i Telegram na različite načine za obavljanje svojih malicioznih aktivnosti:

1. Komandna i kontrolna (C2) infrastruktura

Napadači mogu koristiti Discord-ove webhookove za slanje komandi zaraženim uređajima i primanje ukradenih podataka. Ova metoda im omogućava daljinsku kontrolu zlonamjernog softvera, koristeći Discord kanale kao komunikacijsko čvorište koje je teško otkriti jer se stapa s legitimnim prometom.

Kao i Discord, Telegram botovi mogu upravljati i kontrolisati maliciozni softver. Napadači postavljaju botove koji komuniciraju sa zaraženim uređajima, šalju komande i primaju podatke, a sve to pod okriljem Telegramove šifrovane usluge za razmjenu poruka.

Na primjer, kradljivac X-filesa koristi Telegram kao komunikacijsku platformu za eksfiltriranje ukradenih podataka.

Slične slučajeve možete istražiti koristeći TI Lookup , koji vam omogućava da pronađete slučajeve u kojima maliciozni softver koristi platforme kao što su Telegram ili Discord za eksfiltriranje podataka. To će vam omogućiti da promatrate kako slične prijetnje koriste ove komunikacijske kanale, pomažući vam da budete ispred potencijalnih rizika.

Discord pretraga kanala unutar ANY.RUN-ovog TI Lookup-a

2. Distribucija zlonamjernog softvera

Discord-ova funkcija dijeljenja datoteka također se koristi za distribuciju malicioznih datoteka. Ove datoteke se nalaze na Discordovoj mreži za isporuku sadržaja (CDN), što ih čini legitimnim i zaobilaze mnoge sigurnosne filtere.

Malware se također može širiti putem Telegram kanala ili grupa, gdje napadači dijele zaražene datoteke ili linkove. Široka upotreba Telegrama i uočena sigurnost mogu navesti korisnike da preuzmu maliciozni sadržaj.

Sumnjive datoteke i veze mogu se lako analizirati tako što ćete ih otpremiti u ANY.RUN sandbox , gdje možete promatrati kako se ponašaju u izolovanom okruženju. 

Ovo vam omogućava da iz prve ruke vidite kako maliciozni softver može iskoristiti platforme kao što su Discord ili Telegram za distribuciju malicioznih datoteka, pomažući vam da identifikujete koje kanale unutar ovih platformi treba izbjegavati.

Analiza zlonamjernog kanala unutar ANY.RUN sandbox-a

3. Phishing napadi

Napadači mogu koristiti Discord za slanje phishing linkova korisnicima, često prerušenih u poruke od pouzdanih kontakata ili kanala. Ove veze mogu dovesti do malicioznih web lokacija dizajniranih da kradu vjerodajnice ili distribuišu maliciozni softver.

Phishing linkovi se također dijele putem Telegrama, često putem botova ili unutar grupa. Ove veze mogu preusmjeriti korisnike na lažne stranice za prijavu ili preuzeti maliciozni softver direktno na njihove uređaje.

Na primjer, trojanski Xworm posjeduje opsežan skup alata za hakovanje i sposoban je prikupljati privatne informacije i datoteke sa zaraženog računara, otimati Telegram račune i pratiti aktivnosti korisnika.

Kada pokrenete prijetnju unutar interaktivnog sandboxa, kao što je ANY.RUN, možemo vidjeti kako koristi Telegram za krađu vjerodajnica. 

Pregledom odjeljka Pretnje možemo brzo identificirati sumnjive ili zlonamjerne mrežne aktivnosti označene Suricata IDS pravilima.

Prijetnje prikazane u ANY.RUN sandboxu

Jedna od navedenih aktivnosti uključuje pokušaj zlonamjernog softvera da eksfiltrira podatke putem Telegrama.

Maliciozni softver koji koristi Telegram prikazan u zaštićenom okruženju ANY.RUN

4.Iskorišćavanje API-ja

Napadači su pronašli načine da iskoriste i Telegram-ov i Discord-ov API za unapređenje svojih malicioznih aktivnosti. Zloupotrebom ovih API-ja, oni mogu stvoriti štetne botove ili automatizovati niz napada. 

Moćne mogućnosti automatizacije koje pružaju API-ji ovih platformi mogu se zloupotrijebiti za izvođenje radnji kao što su slanje neželjene pošte, preplavljivanje kanala neželjenim porukama, ili čak koordinacija složenih sajber napada. 

Ovi API-ji, dizajnirani da poboljšaju korisničko iskustvo i funkcionalnost, nažalost također pružaju alate koji, u pogrešnim rukama, mogu olakšati različite oblike zlonamjernog ponašanja.

Iskorišćavanje Telegram API-ja prikazano u ANY.RUN sandboxu

14 dana vrhunskih funkcija interaktivne analize

Iskusite puni potencijal ANY.RUN-ovog sandbox-a i otkrijte kako interaktivna analiza zlonamjernog softvera može podići vaše napore u vezi s cyber sigurnošću.

Izvor: CyberSecurityNews

Exit mobile version