SafeGuard Cyber виявив використання Telegram для поширення шкідливого інфостилера Echelon
Зловмисники використовують Telegram для поширення шкідливого інфостиллера Echelon, який викрадає облікові дані криптогаманців та інших облікових записів користувачів.
Зловмисне програмне забезпечення також викрадає облікові дані облікового запису в Discord, Microsoft Edge, FileZilla, OpenVPN, Microsoft Outlook та Telegram.
Дослідники SafeGuard Cyber виявили зразок Ешелону, опублікований в Telegram-каналі, присвяченому криптовалюта. Шкідливе програмне забезпечення призначене для крадіжки облікових даних кількох платформ обміну повідомленнями та файлів, включаючи Discord, Microsoft Edge, FileZilla, OpenVPN, Microsoft Outlook та Telegram, а також ряд криптовалютних гаманців, включаючи AtomicWallet, BitcoinCore, ByteCoin, Exodus, Jaxx та Monero.
"Виходячи з шкідливого ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ і способу його розміщення, SafeGuard Cyber вважає, що воно не було частиною скоординованої кампанії, а просто націлювалося на нових або наївних користувачів каналу", - пояснили експерти. Зловмисники використовували маркер Smokes Night для поширення ешелону на каналі, але наскільки це було успішно, невідомо.
На думку експертів, користувачі каналу, схоже, не помітили нічого підозрілого і не зацікавилися цим повідомленням. Однак це не означає, що шкідливе програмне забезпечення не потрапило на пристрої користувачів.
Зловмисники завантажили Ешелон на кріптовалютний канал в .RAR файл під назвою "присутній) .rar". Архів містив три файли – захищений текстовий документ з паролем "pass - 123.txt", бібліотеку класів і набір інструментів "DotNetZip.dll" для роботи з .ZIP файлами і шкідливий виконуваний файл "Present.exe".
Корисне навантаження, написане на мові програмування .NET, також включало в себе кілька функцій, які ускладнювали виявлення або аналіз. Функції захисту від налагодження негайно припинили процес, якщо було виявлено зневаджувач або інші інструменти аналізу шкідливих програм. Також з'явився інструмент обфускації з відкритим вихідним кодом, ConfuserEx.
Інші особливості шкідливого ПЗ включають відстеження цифрових відбитків пальців, а також можливість зробити скріншот на комп'ютерній системі жертви. Ешелон відправляє вкрадені дані і скріншоти назад на командно-контрольний сервер.
На щастя, Захисник Windows виявляє і видаляє зразок наявного.exe шкідливий виконуваний файл і попереджає його як «#LowFI: HookwowLow», зменшуючи будь-який потенційний збиток від Echelon користувачам з встановленим антивірусним програмним забезпеченням.