信息来源:Freebuf
最新研究发现,即使该应用程序未安装或未使用,攻击者仍然可以利用它并通过电子邮件活动传播恶意软件,然后接管目标用户的设备。
警告!ToxicEye恶意软件正在Telegram平台中泛滥
近期,安全研究专家发现,网络犯罪分子正在利用广受欢迎的Telegram消息应用程序进行攻击。他们会在该应用程序中嵌入一款名为ToxicEye的远程访问木马(RAT),当目标用户感染了ToxicEye之后,攻击者将能够通过受攻击的Telegram账号来控制目标设备。
来自CheckPoint的安全研究人员表示,,ToxicEye恶意软件可以接管目标设备的文件系统,安装勒索软件,并从目标用户的电脑中提取数据。在过去的三个月时间里,他们跟踪了130多起利用ToxicEye执行的网络攻击活动,而且攻击者都是通过Telegram来实现木马控制的。
在上周四他们发布的一份研究报告中,详细介绍了攻击者如何利用消息传递服务来与其自己的服务器进行通信,并将数据提取至攻击者控制的服务器中。
CheckPoint的研发经理Idan Sharabi说到,考虑到Telegram的广泛使用和普及,攻击者很有可能能够利用全球拥有5亿多活跃用户的Telegram作为他们的恶意软件传播平台。他在一份电子邮件声明中说到:“我们相信,攻击者正在利用Telegram进行网络攻击,因为全球范围内有很多组织和用户都在使用这个应用程序,并且能够很好地绕过安全限制。”
研究人员指出,Telegram作为一种安全的私人信息服务,在疫情期间的用户量更是得到了极大增长。考虑到WhatsApp制定了新的隐私和数据管理政策,将有数百万的用户转移到Telegram等其他消息传递平台上。
研究人员称,这种不断增长的Telegram用户群导致了相应攻击活动的激增,攻击者向Telegram平台投掷了大量常见的恶意软件。据Check Point称,他们已经发现了数十种现成的针对Telegram用户的恶意软件样本。
研究人员指出,Telegram是隐藏此类活动的理想方式,因为它不受反病毒保护机制的阻止,攻击者可以保持匿名,而且只需一个手机号码即可注册。考虑到该应用程序的通信基础设施,攻击者还可以轻松地从目标用户的电脑上过滤并提取数据,或将新的恶意文件传输到受感染的机器上,并且可以从世界上任何地方远程执行。
感染链
Telegram RAT攻击开始前,攻击者需要创建一个Telegram帐户和一个专用Telegram bot,或远程帐户,这将允许他们以各种方式与其他用户进行交互,包括聊天、将好友添加到组或通过键入bot的Telegram用户名和查询直接从输入字段发送请求。
然后,攻击者将bot令牌与RAT或其他选定的恶意软件捆绑,并通过基于电子邮件的垃圾邮件活动将恶意软件作为电子邮件附件传播。比如说,攻击者会通过一个名为“paypal checker by saint.exe”的文件来传播恶意软件。
一旦目标用户打开了恶意附件之后,就会连接到Telegram,并通过Telegram bot对目标设备执行远程攻击。接下来,Telegram bot将使用消息服务将目标设备连接回攻击者的命令控制服务器。研究人员说,感染后攻击者可以完全控制目标设备,并从事一系列恶意活动。
在CheckPoint观察到的攻击中,ToxicEye RAT被用来定位和窃取用户设备上的密码、计算机信息、浏览器历史记录和cookies;删除和传输文件或终止PC进程,以及接管PC的任务管理器;部署键盘记录器或录制目标用户周围的音频和视频,以及窃取剪贴板内容;用勒索软件加密解密目标用户的档案。
识别和缓解方案
CheckPoint的研究人员表示,如果你的电脑受感染的话,电脑里面将会存在一个名为“rat.exe”文件,路径为“C:\Users\ToxicEye\rat[.]exe”。
如果目标设备上没有安装Telegram应用程序的话,广大用户也应该监控设备上跟Telegram相关的流量。
除此之外,收件人在处理可疑邮件时,必须检查邮件的收件人信息,如果没有指定的收件人,或收件人未列出或未披露,则可能表明该电子邮件是钓鱼或恶意邮件。