新发现的间谍软件使用电报机器人从许多钱包中窃取加密货币

 
Jupiter Threat Labs最近发布了一份有关新发现的名为“ Masad Clipper and Stealer”的商业间谍软件的报告。它使用Telegram机器人作为命令和控制(C2)来仿冒Windows和Android用户的信息，并能够从Windows和Android用户中窃取加密货币。毫无戒心的受害者，同时在其设备上倾倒更多恶意软件。
该报告讨论了新发现的恶意软件的各种有趣功能，但是，引起研究人员注意的主要功能是其能够将受害用户的钓鱼数据发送到Telegram机器人，然后将其用作命令中心。他们认为这是对C2世界已知机制的一种扭曲。
恶意软件如何工作?
Masad首先发送Getme来确认该僵尸程序仍处于活动状态，然后该恶意软件将受害者的所有蓄积数据放在zip文件夹中，然后将其发送给热点。分析师解释说，
“收到此请求后，机器人会使用包含机器人用户名的用户对象进行回复。该用户名对象可用于识别与此恶意软件有关的可能威胁者。这是一个重要的考虑因素，因为该恶意软件具有现成的性质-多方将出于不同目的来运行Masad Stealer实例。”
研究人员指出，目前市场上有1000多种Masad变体和338个独特的Telegram C2机器人。研究人员进一步补充：“从这些数据中，我们可以估计威胁行为者的数量(或至少使用Masad Stealer恶意软件正在运行的不同活动的数量)及其操作规模，”
研究进一步发现，该恶意软件能够用自己的功能替换加密钱包。研究人员解释说，“此恶意软件包含一项功能，只要它与特定配置匹配，便可以替换剪贴板上的钱包。如果剪贴板数据与编码为Masad Stealer的模式之一匹配，则恶意软件将使用威胁参与者的钱包之一替换剪贴板数据，这些钱包也以二进制文件的形式出现。”
该恶意软件窃取了许多加密货币，包括比特币，DogeCoin，以太坊，Litecoin，Monero，Neo等。