Σύμφωνα με μια νέα έρευνα,
εγκληματίες
του κυβερνοχώρου εκμεταλλεύονται τη δημοφιλή
εφαρμογή
ανταλλαγής μηνυμάτων
Telegram
,
ενσωματώνοντας τον κώδικά της σε ένα remote access trojan (RAT), με το
όνομα
ToxicEye
. Ο υπολογιστής ενός θύματος που έχει μολυνθεί από το ToxicEye malware ελέγχεται μέσω ενός
Telegram
account
που διαχειρίζεται ο hacker.
Δείτε επίσης
: Χάκερς καταχρώνται Google Forms /
Telegram
για τη συλλογή phished
credentials
Telegram
στα πλαίσια malware εκστρατείας
Οι ερευνητές της
Check Point
Software
Technologies
ανέφεραν ότι το ToxicEye malware μπορεί να
πάρει τον έλεγχο file systems
, να
εγκαταστήσει
ransomware
και να
διαρρεύσει
δεδομένα
από τον υπολογιστή του θύματος.
Η
Check Point
είπε ότι εντόπισε περισσότερες από 130
κυβερνοεπιθέσεις
κατά τους τελευταίους τρεις μήνες, που αξιοποίησαν το ToxicEye malware, το οποίο διαχειρίζονταν
εγκληματίες
του κυβερνοχώρου μέσω του
Telegram
. Οι επιτιθέμενοι
χρησιμοποιούν την
υπηρεσία
ανταλλαγής μηνυμάτων για να επικοινωνήσουν με τον δικό τους server και να μεταφέρουν
δεδομένα
σε αυτόν.
Σύμφωνα με τους ερευνητές, οι hackers πιθανότατα εκμεταλλεύονται το
Telegram
, ως
πλατφόρμα
διανομής, λόγω της ευρείας χρήσης και της δημοτικότητάς του, δήλωσε ο
Idan Sharabi
, διευθυντής έρευνας και ανάπτυξης στην
Check Point
.
“
Πιστεύουμε ότι οι επιτιθέμενοι εκμεταλλεύονται το γεγονός ότι το
Telegram
χρησιμοποιείται και επιτρέπεται σχεδόν σε όλους τους οργανισμούς. Χρησιμοποιώντας αυτό το σύστημα για την εκτέλεση επιθέσεων στον κυβερνοχώρο, μπορούν να παρακάμψουν τους περιορισμούς
ασφαλείας
“, είπε ο ερευνητής.
Telegram
στα πλαίσια malware εκστρατείας
Ο ερευνητής επισημαίνει ότι το
Telegram
, το οποίο είναι γνωστό ως ασφαλής και ιδιωτική
υπηρεσία
ανταλλαγής μηνυμάτων, έχει γίνει ακόμη πιο δημοφιλές κατά τη διάρκεια της πανδημίας. Αυτό ισχύει και για τους
εγκληματίες
του κυβερνοχώρου. Οι δημιουργοί κακόβουλου λογισμικού
χρησιμοποιούν όλο και περισσότερο το
Telegram
ως ένα ready-made command and control (C&C) system για τα κακόβουλα προϊόντα τους
, επειδή προσφέρει πολλά πλεονεκτήματα.
Οι ερευνητές δήλωσαν ότι το
Telegram
είναι ιδανικό για κακόβουλη δραστηριότητα, διότι
δεν μπλοκάρεται από προγράμματα προστασίας από ιούς
και επιτρέπει στους εισβολείς να παραμείνουν
ανώνυμοι
, απαιτώντας μόνο έναν αριθμό κινητού τηλεφώνου για να εγγραφούν. Η
εφαρμογή
επιτρέπει, επίσης, στους επιτιθέμενους να
πάρουν
δεδομένα
από
υπολογιστές
των θυμάτων ή
να μεταφέρουν νέα κακόβουλα αρχεία
σε μολυσμένα μηχανήματα, και όλα αυτά μπορούν να τα κάνουν απομακρυσμένα, από οποιαδήποτε τοποθεσία στον κόσμο.
Δείτε επίσης
: Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο
Telegram
Διαδικασία μόλυνσης
Οι
Telegram
RAT
επιθέσεις
ξεκινούν με τους hackers να δημιουργούν ένα
Telegram
account
και ένα ειδικό
Telegram
bot
που τους επιτρέπει να αλληλεπιδρούν με άλλους
χρήστες
με διάφορους τρόπους (chat, προσθήκη ατόμων σε
ομάδες
,
αποστολή
αιτημάτων απευθείας από το πεδίο εισαγωγής, πληκτρολογώντας το
Telegram
username
του bot και ένα query).
Δείτε επίσης
: 100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT
Οι εισβολείς στη συνέχεια
ομαδοποιούν το bot token με το ToxicEye RAT
ή άλλο επιλεγμένο κακόβουλο λογισμικό και διανέμουν το κακόβουλο λογισμικό
μέσω
phishing
emails με κακόβουλα συνημμένα.
Για παράδειγμα, οι ερευνητές παρατήρησαν ότι οι εισβολείς διανέμουν το κακόβουλο λογισμικό μέσω ενός αρχείου που ονομάζεται “
paypal checker by saint.exe
“.
Μόλις ένα θύμα ανοίξει το κακόβουλο συνημμένο,
συνδέεται με το
Telegram
και αφήνει το μηχάνημα ευάλωτο σε απομακρυσμένη
επίθεση
μέσω του
Telegram
bot
, το οποίο χρησιμοποιεί την
υπηρεσία
ανταλλαγής μηνυμάτων για να
συνδέσει τη συσκευή του θύματος με τον command-and-control server των εισβολέων.
Οι επιτιθέμενοι αποκτούν πλήρη έλεγχο του μηχανήματος του θύματος και μπορούν να πραγματοποιήσουν και άλλες κακόβουλες δραστηριότητες.
Σύμφωνα με τις παρατηρήσεις της
Check Point
, το ToxicEye malware χρησιμοποιείται για τον εντοπισμό και την
κλοπή κωδικών πρόσβασης,
πληροφοριών υπολογιστή, ιστορικού προγράμματος περιήγησης και cookies από
συσκευές
ατόμων
. Επίσης, μπορεί να διαγράψει και να μεταφέρει αρχεία, να διακόψει διεργασίες και να κλέψει περιεχόμενο από το clipboard. Τέλος, λειτουργεί σαν
keylogger
, καταγράφει ήχο και
βίντεο
και κρυπτογραφεί αρχεία.
Telegram
στα πλαίσια malware εκστρατείας
Εντοπισμός και
προστασία
Η
Check Point
δήλωσε ότι μια ένδειξη μόλυνσης είναι
η παρουσία ενός αρχείου που ονομάζεται “rat.exe”
και βρίσκεται στο directory
C:UsersToxicEyerat[.]exe
.
Οι
οργανισμοί
θα πρέπει, επίσης, να παρακολουθούν το traffic μεταξύ PCs και
Telegram
accounts
, όταν η
εφαρμογή
Telegram
δεν είναι εγκατεστημένη στα εν λόγω
συστήματα
. Τέλος, οι ερευνητές συνιστούν μεγάλη προσοχή με τα
emails
και ιδίως με τα συνημμένα αρχεία.
Πηγή: Threatpost
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
