網路犯罪分子利用聊天平台API作為 C&C 基礎設施
聊天平台如 Discord、Slack和Telegram已經成為相當熱門的辦公室通訊工具,這三個例子都深受世界各地企業和組織的青睞。一個重要的原因是這些聊天平台可以讓使用者透過API將他們的應用程式與自己的平台整合。這種作法在工作環境內可以減少應用程式切換的時間,進而簡化工作流程並提高效率。但有一點必須提出來,這樣的功能是否會被網路犯罪分子濫用?畢竟,我們已經看過許多將合法服務和應用程式用在惡意網路犯罪行為的例子,像是IRC就是個知名的例子,曾在過去被許多網路犯罪分子作為「Botnet傀儡殭屍網路」的命令與控制(C&C)基礎設施。
將聊天平台API轉換為命令與控制基礎設施
趨勢科技的研究重點是分析這些聊天平台API是否可作為C&C之用,並且看看是否有現行惡意軟體在利用此漏洞。通過大量的監視、研究和製作概念證明程式碼,我們已經可以證明每個聊天平台的 API功能都可能被濫用 – 將聊天平台轉變成C&C伺服器,網路犯罪分子可藉此與中毒或被駭系統進行通訊。
發現濫用API的惡意軟體樣本
我們對聊天平台的大量監視也顯示出網路犯罪分子已經在利用這些聊天平台進行惡意攻擊。在Discord,發現許多惡意軟體,包括檔案注入程式,甚至是 比特幣Bitcoin) 採礦程式。同時,Telegram也被發現遭到某些KillDisk變種及TeleCrypt(一種勒索病毒 Ransomware (勒索軟體/綁 繼續閱讀