Các ứng dụng nhắn tin ngày nay đã trở nên rất phổ biến, với nhiều tính năng nổi bật và không chỉ dừng lại ở việc gửi tin nhắn và còn nhiều tích hợp tiện ích khác. Điển hình như ứng dụng Discord và Telegram cung cấp các chức năng cho phép người dùng tạo và chia sẻ các chương trình hoặc các loại nội dung khác được sử dụng bên trong nền tảng. Các chương trình này thường được gọi là bot, cho phép người dùng chia sẻ tệp, chơi trò chơi, nhận tin tức, thông báo hoặc bất kỳ tác vụ tự động nào khác mà nhà phát triển có thể đặt ra. Tuy nhiên, đây lại là chương trình mà tin tặc đang tìm cách khai thác trong các cuộc tấn công.

Các nhà nghiên cứu của Intel 471 chia sẻ rằng các nhóm tin tặc đã sử dụng nền tảng Telegram và Discord để lưu trữ, phân phối và thực thi các chức năng khác nhau có thể cho phép chúng xác thực, hoặc một số thông tin khác từ các nạn nhân.

Đánh cắp thông tin trên nền tảng nhắn tin Telegram và Discord

Các nhà nghiên cứu của Intel 471 đã phát hiện ra một số trình đánh cắp thông tin có sẵn miễn phí được xây dựng tùy chỉnh để hoạt động trên Discord hoặc Telegram. Một trong số này có tên gọi là Blitzed Grabber, sử dụng tính năng webhooks của Discord để lưu trữ dữ liệu bị đánh cắp. Tương tự như , webhooks cung cấp một cách dễ dàng để gửi các tin nhắn tự động và cập nhật dữ liệu từ máy của nạn nhân vào một kênh nhắn tin cụ thể. Tin tặc sau đó có thể sử dụng các thông tin đã thu thập được để tiếp tục các mục đích của riêng mình, hoặc bán những thông tin này trên các diễn đàn dark web.

Các tin tặc có thể đánh cắp tất cả các loại thông tin, bao gồm dữ liệu được tự động điền, thanh dấu trang, cookie trình duyệt, thông tin đăng nhập mạng riêng ảo (VPN), thông tin thẻ thanh toán, ví tiền điện tử, thông tin hệ điều hành, mật khẩu hay thậm chí cả Product Key của Windows. Một số trình đánh cắp thông tin khác, cụ thể là Mercurial Grabber và 44Caliber cũng nhắm mục tiêu thông tin đăng nhập cho các nền tảng trò chơi phổ biến như Minecraft và Roblox.

Ngoài ra, Intel 471 cho biết họ cũng phát hiện ra một bot Telegram độc hại, được gọi là X-Files. Khi mã độc đã được tải vào hệ thống của nạn nhân, tin tặc có thể dò quét thông tin mật khẩu, phiên cookie, thông tin đăng nhập và chi tiết thẻ tín dụng rồi gửi những thông tin này đến kênh Telegram mà chúng thiết lập. X-Files có thể thu thập thông tin từ một loạt các trình duyệt, bao gồm Google Chrome, Chromium, Opera, Slimjet và Vivaldi.

Bên cạnh đó, các nhà nghiên cứu đã phát hiện ra một trình đánh cắp thông tin Telegram khác, được gọi là Prynt Stealer hoạt động theo cách tương tự như X-Files nhưng không hoạt động với các lệnh bot.

Lạm dụng cơ sở hạ tầng đám mây Discord

Intel 471 đã quan sát thấy các tin tặc lạm dụng cơ sở hạ tầng đám mây được các ứng dụng nhắn tin sử dụng để hỗ trợ các chiến dịch phát tán mã độc. Nhiều nhóm tin tặc hiện đang sử dụng mạng phân phối nội dung (CDN) của Discord để lưu trữ các mã độc. Hệ thống thu thập Malware Intelligence của Intel 471 quan sát và nhận thấy kỹ thuật này lần đầu tiên vào năm 2019, nhưng hiện nay nhiều tin tặc vẫn sử dụng.

Theo đánh giá của công ty an ninh mạng này, có vẻ như các tin tặc không phải đối mặt với bất kỳ hạn chế nào khi tải các payload độc hại lên Discord CDN để lưu trữ tệp. “Các liên kết được mở cho bất kỳ người dùng nào mà không cần xác thực, cung cấp cho các tin tặc một tên miền web có uy tín cao để lưu trữ mã độc”, các nhà nghiên cứu Intel 471 chia sẻ.

Các kiểu mã độc sử dụng Discord CDN để lưu trữ các payload độc hại này bao gồm: PrivateLoader, Discoloader, Colibri, Warzone RAT, Modi loader, Raccoon stealer, Smokeloader, Amadey, Agent Tesla stealer, GuLoader, Autohotkey, njRAT.

Các bot OTP tiếp tục phát triển mạnh

Trước đây, Intel 471 cho biết đã có sự gia tăng trong các dịch vụ của tin tặc cho phép chúng sử dụng chương trình Telegram trong nỗ lực chặn mã thông báo mật khẩu một lần (OTP). Các tin tặc đã tiếp tục triển khai các dịch vụ này, bán quyền truy cập vào website của chúng trên các diễn đàn dark web.

Các nhà nghiên cứu Intel 471 đã quan sát thấy một bot vào tháng 4/2022, được gọi là Astro OTP có thể chặn mã thông báo OTP và mã xác minh dịch vụ tin nhắn (SMS). Các tin tặc có thể điều khiển bot này thông qua giao diện Telegram bằng các lệnh cơ bản.

Một công cụ khởi đầu cho các cuộc tấn công

Mặc dù các trình đánh cắp thông tin không gây ra thiệt hại lớn so với một số mã độc khác như phần mềm xóa dữ liệu hoặc mã độc tống tiền, nhưng chúng có thể là bước đầu tiên để phát động một cuộc tấn công có chủ đích. Các ứng dụng nhắn tin như Discord và Telegram chủ yếu được sử dụng cho các hoạt động kinh doanh, nhưng sự phổ biến của các nền tảng này cùng với sự gia tăng các công việc từ xa tạo ra một bề mặt tấn công lớn hơn cho các tin tặc khai thác.

Việc các trình đánh cắp thông tin này có thể xoay chuyển các tính năng của ứng dụng nhắn tin một cách dễ dàng và sự gia tăng của công việc từ xa kết hợp với nhau, sẽ tạo cơ hội cho các tin tặc phát triển những kỹ năng cần thiết và có thể xoay trục sang các tin tặc khác trong tương lai.