Это выяснили эксперты Intel 471. Злоумышленники используют облачную инфраструктуру и сервисы Discord и Telegram, чтобы скрыть от пытливых глаз свои операции. Обе платформы имеют большую аудиторию. При этом доступ к ним заблокировать можно лишь на уровне корпоративной сети. У сервисов не хватает возможностей, чтобы проводить мониторинг на предмет злоупотреблений.
Поэтому хакеры облюбовали CDN-сети Discord. Там найдено много различных зловредов. Это инфостилеры Agent Tesla и Raccoon, трояны Amadey и njRAT, а также загрузчик Smokeloader. Также злоумышленники используют боты Telegram. Эту тактику применяет APT-группа, которая специализируется на автоматизации кражи 2FA-кодов и одноразовых паролей. Это позволяет получить доступ к банковским аккаунтам.
API-интерфейс Telegram в основном используют инфостилеры, а иногда – шифровальщики. Ранее Solovei.info выяснил, что новый набор Android-вредоносов был скачен 10 млн раз в Google Play Store.