Hoe RAT-malware Telegram gebruikt om detectie te voorkomen?

Een schimmige figuur op een laptop achter een smartphone met een Telegram-logo.

DANIEL CONSTANTE / Shutterstock.com



Telegram is een handige chat-app. Zelfs makers van malware denken van wel! ToxicEye is een RAT-malwareprogramma dat meelift op het netwerk van Telegram en communiceert met de makers via de populaire chatservice.

Malware die chat op Telegram

Signaal versus Telegram: wat is de beste chat-app? VERWANT Signaal versus Telegram: wat is de beste chat-app? Begin 2021 tientallen gebruikers WhatsApp verlaten voor berichten-apps die betere gegevensbeveiliging beloven na de aankondiging van het bedrijf dat het standaard metadata van gebruikers met Facebook zou delen. Veel van die mensen gingen naar concurrerende apps Telegram en Signal.





Telegram was de meest gedownloade app, met meer dan 63 miljoen installaties in januari 2021, volgens Sensor Tower. Telegram-chats zijn niet end-to-end gecodeerd zoals signaalchats , en nu heeft Telegram een ​​ander probleem: malware.

Softwarebedrijf Check Point onlangs ontdekt dat slechte acteurs Telegram gebruiken als communicatiekanaal voor een malwareprogramma genaamd ToxicEye. Het blijkt dat sommige functies van Telegram door aanvallers kunnen worden gebruikt om gemakkelijker met hun malware te communiceren dan via webgebaseerde tools. Nu kunnen ze met geïnfecteerde computers knoeien via een handige Telegram-chatbot.



Wat is ToxicEye en hoe werkt het?

Wat is RAT-malware en waarom is het zo gevaarlijk? VERWANT Wat is RAT-malware en waarom is het zo gevaarlijk? ToxicEye is een type malware genaamd a trojan voor externe toegang (RAT) . RAT's kunnen een aanvaller op afstand controle geven over een geïnfecteerde machine, wat betekent dat ze:

  • gegevens van de hostcomputer stelen.
  • bestanden verwijderen of overzetten.
  • processen die op de geïnfecteerde computer worden uitgevoerd, doden.
  • kapen de microfoon en camera van de computer om audio en video op te nemen zonder toestemming of medeweten van de gebruiker.
  • bestanden versleutelen om losgeld van gebruikers af te persen.

De ToxicEye RAT wordt verspreid via een phishing-schema waarbij een doelwit een e-mail met een ingebed EXE-bestand wordt verzonden. Als de beoogde gebruiker het bestand opent, installeert het programma de malware op hun apparaat.

RAT's zijn vergelijkbaar met programma's voor toegang op afstand die bijvoorbeeld iemand in de technische ondersteuning kan gebruiken om het bevel over uw computer over te nemen en een probleem op te lossen. Maar deze programma's sluipen binnen zonder toestemming. Ze kunnen nabootsen of worden verborgen met legitieme bestanden, vaak vermomd als een document of ingesloten in een groter bestand zoals een videogame.



Hoe aanvallers Telegram gebruiken om malware te controleren

Al in 2017 gebruiken aanvallers Telegram om kwaadaardige software op afstand te controleren. Een opmerkelijk voorbeeld hiervan is de Masad Stealer-programma dat dat jaar de crypto-portefeuilles van slachtoffers leegmaakte.

Advertentie

Check Point-onderzoeker Omer Hofman zegt dat het bedrijf tussen februari en april 2021 130 ToxicEye-aanvallen heeft gevonden met deze methode, en dat er een paar dingen zijn die Telegram nuttig maken voor kwaadwillenden die malware verspreiden.

Om te beginnen wordt Telegram niet geblokkeerd door firewallsoftware. Het wordt ook niet geblokkeerd door hulpprogramma's voor netwerkbeheer. Het is een gebruiksvriendelijke app die door veel mensen als legitiem wordt herkend en daarom op hun hoede is.

Anoniem aanmelden voor Signal of Telegram VERWANT Anoniem aanmelden voor Signal of Telegram Aanmelden voor Telegram vereist alleen een mobiel nummer, dus aanvallers kunnen blijven anoniem . Het stelt hen ook in staat apparaten vanaf hun mobiele apparaat aan te vallen, wat betekent dat ze vrijwel overal een cyberaanval kunnen uitvoeren. Anonimiteit maakt het buitengewoon moeilijk om de aanvallen aan iemand toe te schrijven en te stoppen.

De infectieketen

Hier is hoe de ToxicEye-infectieketen werkt:

  1. De aanvaller maakt eerst een Telegram-account aan en vervolgens a Telegram-bot, die via de app acties op afstand kan uitvoeren.
  2. Dat bottoken wordt ingevoegd in kwaadaardige broncode.
  3. Die kwaadaardige code wordt verzonden als e-mailspam, die vaak wordt vermomd als iets legitiems waar de gebruiker op kan klikken.
  4. De bijlage wordt geopend, op de hostcomputer geïnstalleerd en via de Telegram-bot informatie teruggestuurd naar het commandocentrum van de aanvaller.

Omdat deze RAT via spam-e-mail wordt verzonden, hoeft u niet eens een Telegram-gebruiker te zijn om geïnfecteerd te raken.

Veilig blijven

Als je denkt dat je ToxicEye hebt gedownload, raadt Check Point gebruikers aan om te controleren op het volgende bestand op je pc: C:UsersToxicEye at.exe

Als u het op een werkcomputer vindt, wist u het bestand van uw systeem en neemt u onmiddellijk contact op met uw helpdesk. Als het op een persoonlijk apparaat staat, wist u het bestand en voert u meteen een antivirussoftwarescan uit.

Advertentie

Op het moment van schrijven, eind april 2021, zijn deze aanvallen alleen ontdekt op Windows-pc's. Als je dat nog niet hebt gedaan een goed antivirusprogramma geïnstalleerd, nu is het tijd om het te krijgen.

Ook andere beproefde adviezen voor een goede digitale hygiëne zijn van toepassing, zoals:

  • Open geen e-mailbijlagen die er verdacht uitzien en/of van onbekende afzenders zijn.
  • Wees voorzichtig met bijlagen die gebruikersnamen bevatten. Schadelijke e-mails bevatten vaak uw gebruikersnaam in de onderwerpregel of een bijlagenaam.
  • Als de e-mail dringend, bedreigend of gezaghebbend probeert te klinken en u onder druk zet om op een link/bijlage te klikken of gevoelige informatie te geven, is deze waarschijnlijk kwaadaardig.
  • Gebruik indien mogelijk anti-phishingsoftware.

De Masad Stealer-code werd beschikbaar gesteld op Github na de aanslagen van 2017. Volgens Check Point heeft dit geleid tot de ontwikkeling van een groot aantal andere kwaadaardige programma's, waaronder ToxicEye:

Sinds Masad beschikbaar kwam op hackforums, zijn tientallen nieuwe soorten malware die Telegram gebruiken voor [command and control] en Telegram's functies exploiteren voor kwaadaardige activiteiten, gevonden als 'off-the-shelf' wapens in opslagplaatsen voor hacktools in GitHub.

Bedrijven die de software gebruiken, doen er goed aan te overwegen over te stappen op iets anders of het op hun netwerken te blokkeren totdat Telegram een ​​oplossing implementeert om dit distributiekanaal te blokkeren.

In de tussentijd moeten individuele gebruikers hun ogen open houden, zich bewust zijn van de risico's en hun systemen regelmatig controleren om bedreigingen uit te roeien - en misschien overwegen om in plaats daarvan over te stappen op Signal.

LEES VOLGENDE Profielfoto voor John Bogna John Bogna
John is een freelance schrijver en fotograaf gevestigd in Houston, Texas. Zijn tienjarige achtergrond omvat onderwerpen van technologie tot cultuur en omvat werk voor de Seattle Times, de Houston Press, Medium's OneZero, WebMD en MailChimp. Voordat John naar The Bayou City verhuisde, behaalde hij een B.A. in Journalistiek van CSU Long Beach.
Lees volledige bio

Interessante Artikelen