簡介
來自 SafeGuard Cyber 的研究人員最近發現，駭客瞄準了 Telegram 用戶的加密錢包，利用 Telegram 上的自動文件下載功能，使用 Echelon 信息竊取器，旨在詐騙 Telegram 上加密貨幣討論頻道的用戶。

 

攻擊手法
攻擊者通過名為「present).rar」的 .RAR 文件將 Echelon 傳到 Telegram 的加密貨幣頻道，裡面有三個文件，分別為：pass – 123.txt、DotNetZip.dll、一個用於操作 .ZIP 文件的非惡意類庫及工具集、以及一個名為「Present.exe」的惡意可執行文件。此外，用 .NET 編寫的有效負載還包括兩個反檢測功能，若果檢測到惡意軟件分析工具，就會立刻停止進程，並使用開源混淆工具 ConfuserEx。

這個惡意軟體的其他功能包括電腦指紋辨識及截取受害者設備的屏幕，並使用壓縮的 .ZIP 文件將竊取的憑證及屏幕截圖發送回 C&C 伺服器。

 

解決方法
Telegram 用戶，尤其是加密貨幣的投資者，應立即關閉自動下載功能，以免加密錢包被盜。

手機：設置 > 數據和存儲 > 自動媒體下載 > 全部禁用

電腦：設置 > 高級 > 自動媒體下載 > 私人聊天、群組、頻道  > 文件 > 禁用

 

參考資料：
https://threatpost.com/telegram-steal-crypto-wallet-credentials/177266/