Σύμφωνα με μια νέα έρευνα, εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τη δημοφιλή εφαρμογή ανταλλαγής μηνυμάτων Telegram, ενσωματώνοντας τον κώδικά της σε ένα remote access trojan (RAT), με το όνομα ToxicEye. Ο υπολογιστής ενός θύματος που έχει μολυνθεί από το ToxicEye malware ελέγχεται μέσω ενός Telegram account που διαχειρίζεται ο hacker.
Δείτε επίσης: Χάκερς καταχρώνται Google Forms / Telegram για τη συλλογή phished credentials
Οι ερευνητές της Check Point Software Technologies ανέφεραν ότι το ToxicEye malware μπορεί να πάρει τον έλεγχο file systems, να εγκαταστήσει ransomware και να διαρρεύσει δεδομένα από τον υπολογιστή του θύματος.
Η Check Point είπε ότι εντόπισε περισσότερες από 130 κυβερνοεπιθέσεις κατά τους τελευταίους τρεις μήνες, που αξιοποίησαν το ToxicEye malware, το οποίο διαχειρίζονταν εγκληματίες του κυβερνοχώρου μέσω του Telegram. Οι επιτιθέμενοι χρησιμοποιούν την υπηρεσία ανταλλαγής μηνυμάτων για να επικοινωνήσουν με τον δικό τους server και να μεταφέρουν δεδομένα σε αυτόν.
Σύμφωνα με τους ερευνητές, οι hackers πιθανότατα εκμεταλλεύονται το Telegram, ως πλατφόρμα διανομής, λόγω της ευρείας χρήσης και της δημοτικότητάς του, δήλωσε ο Idan Sharabi, διευθυντής έρευνας και ανάπτυξης στην Check Point.
“Πιστεύουμε ότι οι επιτιθέμενοι εκμεταλλεύονται το γεγονός ότι το Telegram χρησιμοποιείται και επιτρέπεται σχεδόν σε όλους τους οργανισμούς. Χρησιμοποιώντας αυτό το σύστημα για την εκτέλεση επιθέσεων στον κυβερνοχώρο, μπορούν να παρακάμψουν τους περιορισμούς ασφαλείας“, είπε ο ερευνητής.
Ο ερευνητής επισημαίνει ότι το Telegram, το οποίο είναι γνωστό ως ασφαλής και ιδιωτική υπηρεσία ανταλλαγής μηνυμάτων, έχει γίνει ακόμη πιο δημοφιλές κατά τη διάρκεια της πανδημίας. Αυτό ισχύει και για τους εγκληματίες του κυβερνοχώρου. Οι δημιουργοί κακόβουλου λογισμικού χρησιμοποιούν όλο και περισσότερο το Telegram ως ένα ready-made command and control (C&C) system για τα κακόβουλα προϊόντα τους, επειδή προσφέρει πολλά πλεονεκτήματα.
Οι ερευνητές δήλωσαν ότι το Telegram είναι ιδανικό για κακόβουλη δραστηριότητα, διότι δεν μπλοκάρεται από προγράμματα προστασίας από ιούς και επιτρέπει στους εισβολείς να παραμείνουν ανώνυμοι, απαιτώντας μόνο έναν αριθμό κινητού τηλεφώνου για να εγγραφούν. Η εφαρμογή επιτρέπει, επίσης, στους επιτιθέμενους να πάρουν δεδομένα από υπολογιστές των θυμάτων ή να μεταφέρουν νέα κακόβουλα αρχεία σε μολυσμένα μηχανήματα, και όλα αυτά μπορούν να τα κάνουν απομακρυσμένα, από οποιαδήποτε τοποθεσία στον κόσμο.
Δείτε επίσης: Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram
Διαδικασία μόλυνσης
Οι Telegram RAT επιθέσεις ξεκινούν με τους hackers να δημιουργούν ένα Telegram account και ένα ειδικό Telegram bot που τους επιτρέπει να αλληλεπιδρούν με άλλους χρήστες με διάφορους τρόπους (chat, προσθήκη ατόμων σε ομάδες, αποστολή αιτημάτων απευθείας από το πεδίο εισαγωγής, πληκτρολογώντας το Telegram username του bot και ένα query).
Δείτε επίσης: 100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT
Οι εισβολείς στη συνέχεια ομαδοποιούν το bot token με το ToxicEye RAT ή άλλο επιλεγμένο κακόβουλο λογισμικό και διανέμουν το κακόβουλο λογισμικό μέσω phishing emails με κακόβουλα συνημμένα. Για παράδειγμα, οι ερευνητές παρατήρησαν ότι οι εισβολείς διανέμουν το κακόβουλο λογισμικό μέσω ενός αρχείου που ονομάζεται “paypal checker by saint.exe“.
Μόλις ένα θύμα ανοίξει το κακόβουλο συνημμένο, συνδέεται με το Telegram και αφήνει το μηχάνημα ευάλωτο σε απομακρυσμένη επίθεση μέσω του Telegram bot, το οποίο χρησιμοποιεί την υπηρεσία ανταλλαγής μηνυμάτων για να συνδέσει τη συσκευή του θύματος με τον command-and-control server των εισβολέων. Οι επιτιθέμενοι αποκτούν πλήρη έλεγχο του μηχανήματος του θύματος και μπορούν να πραγματοποιήσουν και άλλες κακόβουλες δραστηριότητες.
Σύμφωνα με τις παρατηρήσεις της Check Point, το ToxicEye malware χρησιμοποιείται για τον εντοπισμό και την κλοπή κωδικών πρόσβασης, πληροφοριών υπολογιστή, ιστορικού προγράμματος περιήγησης και cookies από συσκευές ατόμων. Επίσης, μπορεί να διαγράψει και να μεταφέρει αρχεία, να διακόψει διεργασίες και να κλέψει περιεχόμενο από το clipboard. Τέλος, λειτουργεί σαν keylogger, καταγράφει ήχο και βίντεο και κρυπτογραφεί αρχεία.
Εντοπισμός και προστασία
Η Check Point δήλωσε ότι μια ένδειξη μόλυνσης είναι η παρουσία ενός αρχείου που ονομάζεται “rat.exe” και βρίσκεται στο directory C:\Users\ToxicEye\rat[.]exe.
Οι οργανισμοί θα πρέπει, επίσης, να παρακολουθούν το traffic μεταξύ PCs και Telegram accounts, όταν η εφαρμογή Telegram δεν είναι εγκατεστημένη στα εν λόγω συστήματα. Τέλος, οι ερευνητές συνιστούν μεγάλη προσοχή με τα emails και ιδίως με τα συνημμένα αρχεία.
Πηγή: Threatpost