信息來源:Freebuf
最新研究發(fā)現(xiàn),即使該應用程序未安裝或未使用,攻擊者仍然可以利用它并通過電子郵件活動傳播惡意軟件,然后接管目標用戶的設備。
警告!ToxicEye惡意軟件正在Telegram平臺中泛濫
近期,安全研究專家發(fā)現(xiàn),網(wǎng)絡犯罪分子正在利用廣受歡迎的Telegram消息應用程序進行攻擊。他們會在該應用程序中嵌入一款名為ToxicEye的遠程訪問木馬(RAT),當目標用戶感染了ToxicEye之后,攻擊者將能夠通過受攻擊的Telegram賬號來控制目標設備。
來自CheckPoint的安全研究人員表示,,ToxicEye惡意軟件可以接管目標設備的文件系統(tǒng),安裝勒索軟件,并從目標用戶的電腦中提取數(shù)據(jù)。在過去的三個月時間里,他們跟蹤了130多起利用ToxicEye執(zhí)行的網(wǎng)絡攻擊活動,而且攻擊者都是通過Telegram來實現(xiàn)木馬控制的。
在上周四他們發(fā)布的一份研究報告中,詳細介紹了攻擊者如何利用消息傳遞服務來與其自己的服務器進行通信,并將數(shù)據(jù)提取至攻擊者控制的服務器中。
CheckPoint的研發(fā)經(jīng)理Idan Sharabi說到,考慮到Telegram的廣泛使用和普及,攻擊者很有可能能夠利用全球擁有5億多活躍用戶的Telegram作為他們的惡意軟件傳播平臺。他在一份電子郵件聲明中說到:“我們相信,攻擊者正在利用Telegram進行網(wǎng)絡攻擊,因為全球范圍內(nèi)有很多組織和用戶都在使用這個應用程序,并且能夠很好地繞過安全限制?!?
研究人員指出,Telegram作為一種安全的私人信息服務,在疫情期間的用戶量更是得到了極大增長??紤]到WhatsApp制定了新的隱私和數(shù)據(jù)管理政策,將有數(shù)百萬的用戶轉(zhuǎn)移到Telegram等其他消息傳遞平臺上。
研究人員稱,這種不斷增長的Telegram用戶群導致了相應攻擊活動的激增,攻擊者向Telegram平臺投擲了大量常見的惡意軟件。據(jù)Check Point稱,他們已經(jīng)發(fā)現(xiàn)了數(shù)十種現(xiàn)成的針對Telegram用戶的惡意軟件樣本。
研究人員指出,Telegram是隱藏此類活動的理想方式,因為它不受反病毒保護機制的阻止,攻擊者可以保持匿名,而且只需一個手機號碼即可注冊??紤]到該應用程序的通信基礎(chǔ)設施,攻擊者還可以輕松地從目標用戶的電腦上過濾并提取數(shù)據(jù),或?qū)⑿碌膼阂馕募鬏數(shù)绞芨腥镜臋C器上,并且可以從世界上任何地方遠程執(zhí)行。
感染鏈
Telegram RAT攻擊開始前,攻擊者需要創(chuàng)建一個Telegram帳戶和一個專用Telegram bot,或遠程帳戶,這將允許他們以各種方式與其他用戶進行交互,包括聊天、將好友添加到組或通過鍵入bot的Telegram用戶名和查詢直接從輸入字段發(fā)送請求。
然后,攻擊者將bot令牌與RAT或其他選定的惡意軟件捆綁,并通過基于電子郵件的垃圾郵件活動將惡意軟件作為電子郵件附件傳播。比如說,攻擊者會通過一個名為“paypal checker by saint.exe”的文件來傳播惡意軟件。
一旦目標用戶打開了惡意附件之后,就會連接到Telegram,并通過Telegram bot對目標設備執(zhí)行遠程攻擊。接下來,Telegram bot將使用消息服務將目標設備連接回攻擊者的命令控制服務器。研究人員說,感染后攻擊者可以完全控制目標設備,并從事一系列惡意活動。
在CheckPoint觀察到的攻擊中,ToxicEye RAT被用來定位和竊取用戶設備上的密碼、計算機信息、瀏覽器歷史記錄和cookies;刪除和傳輸文件或終止PC進程,以及接管PC的任務管理器;部署鍵盤記錄器或錄制目標用戶周圍的音頻和視頻,以及竊取剪貼板內(nèi)容;用勒索軟件加密解密目標用戶的檔案。
識別和緩解方案
CheckPoint的研究人員表示,如果你的電腦受感染的話,電腦里面將會存在一個名為“rat.exe”文件,路徑為“C:\Users\ToxicEye\rat[.]exe”。
如果目標設備上沒有安裝Telegram應用程序的話,廣大用戶也應該監(jiān)控設備上跟Telegram相關(guān)的流量。
除此之外,收件人在處理可疑郵件時,必須檢查郵件的收件人信息,如果沒有指定的收件人,或收件人未列出或未披露,則可能表明該電子郵件是釣魚或惡意郵件。