信息來(lái)源：Freebuf

最新研究發(fā)現(xiàn)，即使該應(yīng)用程序未安裝或未使用，攻擊者仍然可以利用它并通過(guò)電子郵件活動(dòng)傳播惡意軟件，然后接管目標(biāo)用戶(hù)的設(shè)備。

警告！ToxicEye惡意軟件正在Telegram平臺(tái)中泛濫

近期，安全研究專(zhuān)家發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子正在利用廣受歡迎的Telegram消息應(yīng)用程序進(jìn)行攻擊。他們會(huì)在該應(yīng)用程序中嵌入一款名為T(mén)oxicEye的遠(yuǎn)程訪(fǎng)問(wèn)木馬（RAT），當(dāng)目標(biāo)用戶(hù)感染了ToxicEye之后，攻擊者將能夠通過(guò)受攻擊的Telegram賬號(hào)來(lái)控制目標(biāo)設(shè)備。

來(lái)自CheckPoint的安全研究人員表示，，ToxicEye惡意軟件可以接管目標(biāo)設(shè)備的文件系統(tǒng)，安裝勒索軟件，并從目標(biāo)用戶(hù)的電腦中提取數(shù)據(jù)。在過(guò)去的三個(gè)月時(shí)間里，他們跟蹤了130多起利用ToxicEye執(zhí)行的網(wǎng)絡(luò)攻擊活動(dòng)，而且攻擊者都是通過(guò)Telegram來(lái)實(shí)現(xiàn)木馬控制的。

在上周四他們發(fā)布的一份研究報(bào)告中，詳細(xì)介紹了攻擊者如何利用消息傳遞服務(wù)來(lái)與其自己的服務(wù)器進(jìn)行通信，并將數(shù)據(jù)提取至攻擊者控制的服務(wù)器中。

CheckPoint的研發(fā)經(jīng)理Idan Sharabi說(shuō)到，考慮到Telegram的廣泛使用和普及，攻擊者很有可能能夠利用全球擁有5億多活躍用戶(hù)的Telegram作為他們的惡意軟件傳播平臺(tái)。他在一份電子郵件聲明中說(shuō)到：“我們相信，攻擊者正在利用Telegram進(jìn)行網(wǎng)絡(luò)攻擊，因?yàn)槿蚍秶鷥?nèi)有很多組織和用戶(hù)都在使用這個(gè)應(yīng)用程序，并且能夠很好地繞過(guò)安全限制?！?

研究人員指出，Telegram作為一種安全的私人信息服務(wù)，在疫情期間的用戶(hù)量更是得到了極大增長(zhǎng)?？紤]到WhatsApp制定了新的隱私和數(shù)據(jù)管理政策，將有數(shù)百萬(wàn)的用戶(hù)轉(zhuǎn)移到Telegram等其他消息傳遞平臺(tái)上。

研究人員稱(chēng)，這種不斷增長(zhǎng)的Telegram用戶(hù)群導(dǎo)致了相應(yīng)攻擊活動(dòng)的激增，攻擊者向Telegram平臺(tái)投擲了大量常見(jiàn)的惡意軟件。據(jù)Check Point稱(chēng)，他們已經(jīng)發(fā)現(xiàn)了數(shù)十種現(xiàn)成的針對(duì)Telegram用戶(hù)的惡意軟件樣本。

研究人員指出，Telegram是隱藏此類(lèi)活動(dòng)的理想方式，因?yàn)樗皇芊床《颈Ｗo(hù)機(jī)制的阻止，攻擊者可以保持匿名，而且只需一個(gè)手機(jī)號(hào)碼即可注冊(cè)。考慮到該應(yīng)用程序的通信基礎(chǔ)設(shè)施，攻擊者還可以輕松地從目標(biāo)用戶(hù)的電腦上過(guò)濾并提取數(shù)據(jù)，或?qū)⑿碌膼阂馕募鬏數(shù)绞芨腥镜臋C(jī)器上，并且可以從世界上任何地方遠(yuǎn)程執(zhí)行。

感染鏈

Telegram RAT攻擊開(kāi)始前，攻擊者需要?jiǎng)?chuàng)建一個(gè)Telegram帳戶(hù)和一個(gè)專(zhuān)用Telegram bot，或遠(yuǎn)程帳戶(hù)，這將允許他們以各種方式與其他用戶(hù)進(jìn)行交互，包括聊天、將好友添加到組或通過(guò)鍵入bot的Telegram用戶(hù)名和查詢(xún)直接從輸入字段發(fā)送請(qǐng)求。

然后，攻擊者將bot令牌與RAT或其他選定的惡意軟件捆綁，并通過(guò)基于電子郵件的垃圾郵件活動(dòng)將惡意軟件作為電子郵件附件傳播。比如說(shuō)，攻擊者會(huì)通過(guò)一個(gè)名為“paypal checker by saint.exe”的文件來(lái)傳播惡意軟件。

一旦目標(biāo)用戶(hù)打開(kāi)了惡意附件之后，就會(huì)連接到Telegram，并通過(guò)Telegram bot對(duì)目標(biāo)設(shè)備執(zhí)行遠(yuǎn)程攻擊。接下來(lái)，Telegram bot將使用消息服務(wù)將目標(biāo)設(shè)備連接回攻擊者的命令控制服務(wù)器。研究人員說(shuō)，感染后攻擊者可以完全控制目標(biāo)設(shè)備，并從事一系列惡意活動(dòng)。

在CheckPoint觀察到的攻擊中，ToxicEye RAT被用來(lái)定位和竊取用戶(hù)設(shè)備上的密碼、計(jì)算機(jī)信息、瀏覽器歷史記錄和cookies；刪除和傳輸文件或終止PC進(jìn)程，以及接管PC的任務(wù)管理器；部署鍵盤(pán)記錄器或錄制目標(biāo)用戶(hù)周?chē)囊纛l和視頻，以及竊取剪貼板內(nèi)容；用勒索軟件加密解密目標(biāo)用戶(hù)的檔案。

識(shí)別和緩解方案

CheckPoint的研究人員表示，如果你的電腦受感染的話(huà)，電腦里面將會(huì)存在一個(gè)名為“rat.exe”文件，路徑為“C:\Users\ToxicEye\rat[.]exe”。

如果目標(biāo)設(shè)備上沒(méi)有安裝Telegram應(yīng)用程序的話(huà)，廣大用戶(hù)也應(yīng)該監(jiān)控設(shè)備上跟Telegram相關(guān)的流量。

除此之外，收件人在處理可疑郵件時(shí)，必須檢查郵件的收件人信息，如果沒(méi)有指定的收件人，或收件人未列出或未披露，則可能表明該電子郵件是釣魚(yú)或惡意郵件。