Telegram to wygodna aplikacja do czatu. Tak uważają nawet twórcy złośliwego oprogramowania! ToxicEye to złośliwy program RAT, który podpina się w sieci Telegram, komunikując się ze swoimi twórcami za pośrednictwem popularnej usługi czatu.
Złośliwe oprogramowanie, które czatuje na Telegramie
ZWIĄZANE ZSignal vs. Telegram: która jest najlepsza aplikacja do czatowania? Na początku 2021 r. dziesiątki użytkowników opuściło WhatsApp, by znaleźć aplikacje do przesyłania wiadomości, które obiecują lepsze bezpieczeństwo danych po ogłoszeniu przez firmę, że domyślnie będzie udostępniać metadane użytkowników Facebookowi. Wiele z tych osób poszło do konkurencyjnych aplikacji Telegram i Signal.
Najczęściej pobieraną aplikacją był Telegram, z ponad 63 miliony instalacji w styczniu 2021 r., według Sensor Tower. Czaty Telegrama nie są w pełni szyfrowane, jak czaty Signal, a teraz Telegram ma inny problem: złośliwe oprogramowanie.
Firma programistyczna Check Point niedawno odkryty że źli aktorzy wykorzystują Telegram jako kanał komunikacji dla szkodliwego programu o nazwie ToxicEye. Okazuje się, że niektóre funkcje Telegrama mogą być wykorzystywane przez atakujących do komunikowania się ze złośliwym oprogramowaniem łatwiej niż za pomocą narzędzi internetowych. Teraz mogą zadzierać z zainfekowanymi komputerami za pomocą wygodnego chatbota Telegrama.
Co to jest ToxicEye i jak to działa?
ZWIĄZANE ZCo to jest złośliwe oprogramowanie RAT i dlaczego jest tak niebezpieczne?ToxicEye to rodzaj złośliwego oprogramowania zwanego trojanem zdalnego dostępu (RAT). RAT mogą zdalnie przejąć kontrolę nad zainfekowaną maszyną, co oznacza, że mogą:
- wykraść dane z komputera hosta.
- usuwać lub przesyłać pliki.
- zabić procesy działające na zainfekowanym komputerze.
- przejąć mikrofon i kamerę komputera, aby nagrywać dźwięk i wideo bez zgody lub wiedzy użytkownika.
- szyfruj pliki, aby wyłudzić okup od użytkowników.
ToxicEye RAT rozprzestrzenia się za pośrednictwem schematu phishingowego, w którym celowi wysyłana jest wiadomość e-mail z osadzonym plikiem EXE. Jeśli docelowy użytkownik otworzy plik, program zainstaluje złośliwe oprogramowanie na jego urządzeniu.
RAT są podobne do programów zdalnego dostępu, których może użyć ktoś z działu pomocy technicznej, aby przejąć kontrolę nad komputerem i rozwiązać problem. Ale te programy wkradają się bez pozwolenia. Mogą naśladować lub być ukryte w legalnych plikach, często zamaskowane jako dokument lub osadzone w większym pliku, takim jak gra wideo.
Jak atakujący używają telegramu do kontrolowania złośliwego oprogramowania?
Już w 2017 roku osoby atakujące wykorzystywały Telegram do kontrolowania złośliwego oprogramowania na odległość. Jednym z godnych uwagi przykładów jest Program Złodziej Masada które w tym roku opróżniły portfele kryptograficzne ofiar.
Badacz Check Point, Omer Hofman, twierdzi, że firma odkryła 130 ataków ToxicEye przy użyciu tej metody w okresie od lutego do kwietnia 2021 roku. Jest kilka rzeczy, które sprawiają, że Telegram jest przydatny dla złych podmiotów, które rozprzestrzeniają złośliwe oprogramowanie.
Po pierwsze, Telegram nie jest blokowany przez oprogramowanie zapory. Nie jest również blokowany przez narzędzia do zarządzania siecią. Jest to łatwa w użyciu aplikacja, którą wiele osób uznaje za legalną, a tym samym zmniejsza czujność.
ZWIĄZANE ZJak zarejestrować się w Signal lub Telegramie Anonimowo Rejestracja w Telegramie wymaga tylko numeru telefonu komórkowego, dzięki czemu atakujący mogą pozostać anonimowi. Pozwala im również atakować urządzenia z urządzenia mobilnego, co oznacza, że mogą przeprowadzić cyberatak z dowolnego miejsca. Anonimowość sprawia, że przypisanie komuś ataków – i powstrzymanie ich – jest niezwykle trudne.
Łańcuch infekcji
Oto jak działa łańcuch infekcji ToxicEye:
- Atakujący najpierw tworzy konto Telegram, a następnie then Telegram „bot”, które mogą wykonywać akcje zdalnie za pośrednictwem aplikacji.
- Ten token bota jest wstawiany do złośliwego kodu źródłowego.
- Ten złośliwy kod jest wysyłany jako spam e-mail, który często jest zamaskowany jako coś, na co użytkownik może kliknąć.
- Załącznik zostaje otwarty, instalowany na komputerze-hoście i wysyła informacje z powrotem do centrum dowodzenia atakującego za pośrednictwem bota Telegram.
Ponieważ ten RAT jest wysyłany za pośrednictwem wiadomości spamowych, nie musisz nawet być użytkownikiem Telegrama, aby zostać zainfekowanym.
Pozostając bezpiecznym
Jeśli uważasz, że mogłeś pobrać ToxicEye, Check Point radzi użytkownikom, aby sprawdzili następujący plik na komputerze: C:UsersToxicEyerat.exe
Jeśli znajdziesz go na komputerze służbowym, usuń plik z systemu i natychmiast skontaktuj się z pomocą techniczną. Jeśli jest na urządzeniu osobistym, usuń plik i od razu uruchom skanowanie za pomocą oprogramowania antywirusowego.
W chwili pisania tego tekstu, pod koniec kwietnia 2021 r., ataki te zostały wykryte tylko na komputerach z systemem Windows. Jeśli nie masz jeszcze zainstalowanego dobrego programu antywirusowego, nadszedł czas, aby go pobrać.
Obowiązują również inne sprawdzone rady dotyczące dobrej „higieny cyfrowej”, takie jak:
- Nie otwieraj załączników do wiadomości e-mail, które wyglądają podejrzanie i/lub pochodzą od nieznanych nadawców.
- Uważaj na załączniki zawierające nazwy użytkowników. Złośliwe e-maile często zawierają Twoją nazwę użytkownika w temacie lub nazwę załącznika.
- Jeśli wiadomość e-mail ma brzmieć jako pilna, groźna lub autorytatywna i zmusza do kliknięcia linku/załącznika lub podania poufnych informacji, prawdopodobnie jest złośliwa.
- Jeśli możesz, korzystaj z oprogramowania antyphishingowego.
Kod Masad Stealer został udostępniony na Github po atakach z 2017 roku. Firma Check Point twierdzi, że doprowadziło to do powstania wielu innych złośliwych programów, w tym ToxicEye:
„Odkąd Masad stał się dostępny na forach hakerskich, dziesiątki nowych rodzajów złośliwego oprogramowania, które wykorzystują Telegram do [command and control] i wykorzystywać funkcje Telegrama do szkodliwej aktywności, zostały znalezione jako „gotowa broń” w repozytoriach narzędzi hakerskich w serwisie GitHub.”
Firmy korzystające z oprogramowania dobrze zrobią, jeśli rozważą przejście na coś innego lub zablokowanie go w swoich sieciach, dopóki Telegram nie wdroży rozwiązania blokującego ten kanał dystrybucji.
W międzyczasie poszczególni użytkownicy powinni mieć oczy szeroko otwarte, zdawać sobie sprawę z zagrożeń i regularnie sprawdzać swoje systemy, aby wykorzenić zagrożenia — i być może zamiast tego rozważyć przejście na Signal.