Le applicazioni di messaggistica sono diventate molto popolari non solo tra gli utenti, ma anche tra i cybercriminali. I ricercatori di Intel471 hanno evidenziato un fenomeno in rapida crescita, ovvero l’uso di Telegram e Discord per distribuire malware e raccogliere i dati delle ignare vittime attraverso i cosiddetti info-stealer.
Telegram e Discord: bot e webhook per malware
I bot di Telegram e i webhook di Discord permettono di automatizzare l’esecuzione di numerose operazioni, tra cui l’invio di messaggi. Queste funzionalità vengono sempre più spesso utilizzate dai cybercriminali per creare repository con dati rubati da vari malware, come Luca Stealer, Prynt Stealer e XFiles.
Quest’ultimo può essere anche controllato attraverso un bot di Telegram. I cybercriminali installano il malware sul dispositivo target e sottraggono password, cookie di sessione, credenziali di login e dati delle carte di credito. Successivamente le informazioni sono inviate ad un canale Telegram. Blitzed Grabber offre simili funzionalità, ma sfrutta i webhook di Discord per rubare i dati.
I ricercatori di Intel471 hanno scoperto che le infrastrutture cloud di Discord e Telegram sono utilizzate anche per ospitare e distribuire i malware. La CDN di Discord, ad esempio, è stata sfruttata per effettuare attacchi con Raccoon Stealer, Agent Tesla e Amadey. Un bot di Telegram, denominato Astro OTP, è stato utilizzato per intercettare i codici OTP inviati via SMS.
Le funzionalità di Discord e Telegram semplificano dunque l’esecuzione degli attacchi informatici. Gli utenti devono quindi installare una soluzione di sicurezza che rileva e blocca gli info-stealer.