ToxicEye 惡意軟件活動濫用的電報平臺
最新研究發現,即使未安裝或使用該應用程序,威脅參與者也可以使用它通過電子郵件活動傳播惡意軟件并接管受害者的機器。
一項新的研究發現,黑客通過將其代碼嵌入稱為ToxicEye的遠程訪問木馬(RAT)中來利用流行的Telegram消息傳遞應用程序。感染了ToxicEye惡意軟件的受害者計算機是由黑客操作的電報消息帳戶控制的。
據Check Point Software Technologies的研究人員稱,ToxicEye惡意軟件可以接管文件系統,安裝勒索軟件并從受害者的PC泄漏數據。
Check Point表示,在過去三個月中,它利用ToxicEye跟蹤了130多次網絡攻擊,而ToxicEye由威脅參與者通過Telegram進行管理。根據周四在線發布的一份報告,攻擊者使用消息傳遞服務與自己的服務器進行通信并向其中竊取數據。
Check Point研發經理 Idan Sharabi 表示,由于其廣泛的使用和受歡迎程度,黑客很可能將Telegram定位為全球分銷平臺的活躍用戶,該公司擁有超過5億活躍用戶。
他在一封電子郵件聲明中說:“我們相信攻擊者利用了幾乎所有組織都使用和允許Telegram的事實,利用此系統進行網絡攻擊,可以繞過安全限制。”
研究人員指出,在大流行期間,尤其是近幾個月來,Telegram(一種稱為安全和私人消息傳遞服務)已經變得越來越流行。這是因為WhatsApp制定了新的隱私和數據管理政策,引起了用戶的關注,并將其推向數以百萬計的替代消息平臺,如Telegram。
研究人員報告稱,不斷增長的Telegram用戶群導致相應的激增,攻擊者向Telegram平臺投放了許多常見的惡意軟件。根據Check Point的說法,還發現了針對Telegram用戶的數十個“現成”惡意軟件樣本。
研究人員說,Telegram是掩蓋此類活動的理想方法,因為它不受反病毒保護的阻止,并允許攻擊者保持匿名,只需要注冊一個手機號碼即可。他們說,該應用程序還允許攻擊者通過其通信基礎設施,輕松地從受害者的PC中竊取數據或將新的惡意文件傳輸到受感染的計算機,并可以從世界任何地方遠程進行此操作。
感染鏈
Telegram RAT攻擊始于威脅行為者創建一個Telegram帳戶和一個專用的 Telegram bot 或遠程帳戶,該帳戶允許他們以各種方式與其他用戶進行交互-包括聊天,將人添加到組中或通過以下方式直接從輸入字段發送請求:鍵入機器人的電報用戶名和查詢。
然后,攻擊者將僵尸令牌與RAT或其他選定的惡意軟件捆綁在一起,并通過基于電子郵件的垃圾郵件活動將惡意軟件作為電子郵件附件進行傳播。他們說,例如,研究人員觀察到攻擊者通過名為“ saint.exe的Paypal Checker”文件傳播惡意軟件。
一旦受害者打開了惡意附件,它就會連接到Telegram,并通過Telegram僵尸程序使計算機容易受到遠程攻擊,該僵尸程序使用消息傳遞服務將受害者的設備連接回該攻擊者的命令和控制服務器。報告。研究人員說,感染后攻擊者可以完全控制受害者的機器,并且可以從事一系列邪惡活動。
在Check Point觀察到的攻擊中,使用ToxicEye RAT來查找和竊取用戶設備中的密碼,計算機信息,瀏覽器歷史記錄和cookie;刪除和傳輸文件或終止PC進程以及接管PC的任務管理器;部署鍵盤記錄器或錄制受害者周圍的音頻和視頻,以及竊取剪貼板中的內容;并使用勒索軟件對受害者的文件進行加密和解密。
識別和緩解
Check Point表示,PC感染的跡象是在目錄C:\ Users \ ToxicEye \ rat [。] exe中存在一個名為“ rat.exe”的文件。
研究人員說,當相關系統中未安裝Telegram應用程序時,組織還應監視從PC到Telegram帳戶的流量。
在審查電子郵件時,研究人員鼓勵保持高度警惕。Check Point表示,收件人在使用電子郵件之前必須始終檢查看起來可疑的電子郵件的收件人行。如果沒有命名收件人,或者收件人未列出或未公開,則可能表明該電子郵件是網絡釣魚或惡意郵件。
