攻击者使用Echelon信息窃取器瞄准Telegram用户的加密钱包，旨在欺骗加密货币的新用户或毫无戒心的用户。

他们在一份分析报告中表示，SafeGuard Cyber第七部门威胁分析部门的研究人员在10月份检测到一个以加密货币为重点的Telegram频道上发布的Echelon样本。

活动中使用的恶意软件旨在从多个消息传递和文件共享平台窃取凭据，包括Discord、Edge、FileZilla、OpenVPN、Outlook甚至Telegram本身，以及许多加密货币钱包，包括AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。

据报道，该活动采用一种“撒网并祈祷(spray and pray)”的模式：“根据恶意软件及其发布方式，SafeGuard Cyber认为它不是协调活动的一部分，而只是针对该频道的新用户或不熟悉的用户。”

研究人员发现，攻击者使用“Smokes Night”句柄在频道上传播Echelon，但尚不清楚它的进展程度。他们写道：“该帖子似乎不是对频道中任何相关消息的回应。”

他们说，频道上的其他用户似乎没有注意到任何可疑之处也没有参与其中。然而，研究人员写道，这并不意味着恶意软件没有到达用户的设备。

他们写道：“我们没有看到任何人对‘Smokes Night’做出回应或对它提出投诉，但这并不能证明该频道的用户没有受到感染。”

Telegram消息应用程序确实已成为网络犯罪分子活动的温床，他们利用其受欢迎程度和广泛的攻击面，通过使用机器人、恶意帐户和其他方式在平台上传播恶意软件。

恶意软件分析

攻击者通过名为“present).rar”的.RAR文件将Echelon传送到加密货币通道，该文件包含三个文件：“pass–123.txt”，一个包含密码的良性文本文档；“DotNetZip.dll”，一个用于操作.ZIP文件的非恶意类库和工具集，以及“Present.exe”，Echelon凭据窃取程序的恶意可执行文件。

用.NET编写的有效负载还包括几个难以检测或分析的功能，包括两个反调试功能，如果检测到调试器或其他恶意软件分析工具，立即终止进程，以及使用开源混淆工具ConfuserEx。

研究人员最终设法消除了代码的混淆，并在发送给Telegram频道用户的Echelon样本的掩护下进行观察。研究人员写道，他们发现它包含域检测，这意味着样本还将尝试窃取有关受害者访问过的任何域的数据。报告中包含了Echelon样本试图瞄准的平台的完整列表。

研究人员写道，恶意软件的其他功能包括计算机指纹识别，以及截取受害者机器屏幕截图的能力。他们说，从活动中提取的Echelon样本使用压缩的.ZIP文件将凭据和其他被盗数据以及屏幕截图发送回命令和控制服务器。

研究人员指出，幸运的是，Windows Defender检测并删除了Present.exe恶意可执行样本，并发出“#LowFI:HookwowLow”的警告，从而减轻了Echelon对安装了防病毒软件的用户所构成的潜在损害。

（文章来源：嘶吼专业版，参考：https://threatpost.com/telegram-steal-crypto-wallet-credentials/177266/）