В прошлом году аналитический центр AhnLab SEcurity Intelligence Center (ASEC) представил файлы фишинговых скриптов, использующих Telegram для утечки пользовательской информации. В последнее время несколько фишинговых скриптов, использующих Telegram, стали распространяться без разбора по таким ключевым словам, как денежные переводы и квитанции.
В отличие от файлов фишинговых скриптов, которые распространялись в ранние годы, последние файлы обфусцированы, чтобы избежать обнаружения. Как и раньше, они распространяются с помощью различных средств и тактик, например, предлагают пользователям войти в систему, чтобы открыть защищенные файлы, или выдают себя за страницу входа в систему Microsoft.
После ввода пароля, состоящего не менее чем из пяти символов, вредоносная программа отправляет похищенную информацию угрожающим субъектам через Telegram API. Передаваемая информация включает в себя адреса электронной почты, пароли, IP и userAgent. Токен и идентификатор чата определяются заранее, чтобы отправить сообщение угрожающим субъектам.
После этого вредоносная программа перенаправляет пользователей на легитимный сайт Microsoft, чтобы пользователь не заметил вредоносной активности.
Indicators of Compromise
MD5
- 52e65857ed34be25c76b54d1c3131abe
- 6cfff5e65cabf8090ab9aa8b9977f4a8
- 87a0281ced86d15b6a8fc8cf299fd96f
- aae4afd45b38168259268169855562b9
