Логотип СИБ

Системы
Информационной
Безопасности

 +7 (495) 766-05-38 [email protected]
Все статьи

Распространение инфостилера «Echelon» в Telegram.

28 декабря 2021 г. 10:25
 3717

Исследователи обнаружили новый штамм вредоноса-инфостилера «Echelon».

Исследователи обнаружили новый штамм вредоноса-инфостилера «Echelon», который пытается красть криптокошельки пользователей нескольких файлообменных сервисов и платформ обмена сообщениями.

Что обнаружено?

Исследователи из SafeGuard Cyber обнаружили образец вредоносной программы Echelon, размещенный в популярном канале Telegram.

  • Атакующие пытались распространять вредоносную программу на Telegram-канале «Smokes Night».
  • Исследователи считают, что кампания была веерной и не являлась частью какой-либо скоординированной атаки.
  • Злоумышленники пытались заманить начинающих и ничего не подозревающих пользователей, публикуя сообщения в Telegram-канале, посвященном обсуждению криптовалют. Конечной целью было заразить пользователей Echelon.

 

Инфостилер «Echelon».

Echelon - это известная вредоносная программа-похититель данных, впервые обнаруженная в 2018 году.

  • Echelon нацелен на кражу учетных данных популярных файлообменных платформ и приложений для обмена сообщениями, включая FileZilla, Discord, Outlook, Edge, OpenVPN и Telegram.
  • Он также нацелен на учетные данные нескольких криптовалютных кошельков, включая Exodus, BitcoinCore, ByteCoin, Jaxx, AtomicWallet и Monero.

 

Дополнительные технические подробности.

Echelon написан на .NET и может похвастаться несколькими функциями уклонения, которые затрудняют обнаружение и анализ этой вредоносной программы.

  • Полезная нагрузка Echelon поставляется в RAR-файле «present).rar», который состоит из трех файлов: «pass - 123.txt» (текстовый файл, содержащий пароль от архива), «DotNetZip.dll» (файл библиотеки классов, содержащий набор не вредоносных инструментов для работы с zip-файлами) и «Present.exe» (вредоносная исполняемая полезная нагрузка, похищающая учетные данные).
  • Echelon имеет две анти-отладочные функции, которые завершают вредоносный процесс, как только он обнаруживает отладчик или инструменты анализа вредоносного ПО.
  • Кроме того, вредонос использует инструмент с открытым исходным кодом «ConfuserEx» для дальнейшей обфускации своего кода.

 

Заключение.

Используя доверенные каналы социальных сетей, таких как Telegram, Echelon расставляет эффективную ловушку для ничего не подозревающих пользователей. Более того, он нацелен на целый ряд популярных криптовалютных кошельков, что делает его серьезной угрозой для всех пользователей криптовалют.

Источник:  https://cyware.com

Системы Информационной Безопасности