信息來源:Freebuf
最新研究發(fā)現(xiàn),即使該應(yīng)用程序未安裝或未使用,攻擊者仍然可以利用它并通過電子郵件活動(dòng)傳播惡意軟件,然后接管目標(biāo)用戶的設(shè)備。
警告!ToxicEye惡意軟件正在Telegram平臺(tái)中泛濫
近期,安全研究專家發(fā)現(xiàn),網(wǎng)絡(luò)犯罪分子正在利用廣受歡迎的Telegram消息應(yīng)用程序進(jìn)行攻擊。他們會(huì)在該應(yīng)用程序中嵌入一款名為ToxicEye的遠(yuǎn)程訪問木馬(RAT),當(dāng)目標(biāo)用戶感染了ToxicEye之后,攻擊者將能夠通過受攻擊的Telegram賬號(hào)來控制目標(biāo)設(shè)備。
來自CheckPoint的安全研究人員表示,,ToxicEye惡意軟件可以接管目標(biāo)設(shè)備的文件系統(tǒng),安裝勒索軟件,并從目標(biāo)用戶的電腦中提取數(shù)據(jù)。在過去的三個(gè)月時(shí)間里,他們跟蹤了130多起利用ToxicEye執(zhí)行的網(wǎng)絡(luò)攻擊活動(dòng),而且攻擊者都是通過Telegram來實(shí)現(xiàn)木馬控制的。
在上周四他們發(fā)布的一份研究報(bào)告中,詳細(xì)介紹了攻擊者如何利用消息傳遞服務(wù)來與其自己的服務(wù)器進(jìn)行通信,并將數(shù)據(jù)提取至攻擊者控制的服務(wù)器中。
CheckPoint的研發(fā)經(jīng)理Idan Sharabi說到,考慮到Telegram的廣泛使用和普及,攻擊者很有可能能夠利用全球擁有5億多活躍用戶的Telegram作為他們的惡意軟件傳播平臺(tái)。他在一份電子郵件聲明中說到:“我們相信,攻擊者正在利用Telegram進(jìn)行網(wǎng)絡(luò)攻擊,因?yàn)槿蚍秶鷥?nèi)有很多組織和用戶都在使用這個(gè)應(yīng)用程序,并且能夠很好地繞過安全限制?!?
研究人員指出,Telegram作為一種安全的私人信息服務(wù),在疫情期間的用戶量更是得到了極大增長(zhǎng)??紤]到WhatsApp制定了新的隱私和數(shù)據(jù)管理政策,將有數(shù)百萬的用戶轉(zhuǎn)移到Telegram等其他消息傳遞平臺(tái)上。
研究人員稱,這種不斷增長(zhǎng)的Telegram用戶群導(dǎo)致了相應(yīng)攻擊活動(dòng)的激增,攻擊者向Telegram平臺(tái)投擲了大量常見的惡意軟件。據(jù)Check Point稱,他們已經(jīng)發(fā)現(xiàn)了數(shù)十種現(xiàn)成的針對(duì)Telegram用戶的惡意軟件樣本。
研究人員指出,Telegram是隱藏此類活動(dòng)的理想方式,因?yàn)樗皇芊床《颈Wo(hù)機(jī)制的阻止,攻擊者可以保持匿名,而且只需一個(gè)手機(jī)號(hào)碼即可注冊(cè)??紤]到該應(yīng)用程序的通信基礎(chǔ)設(shè)施,攻擊者還可以輕松地從目標(biāo)用戶的電腦上過濾并提取數(shù)據(jù),或?qū)⑿碌膼阂馕募鬏數(shù)绞芨腥镜臋C(jī)器上,并且可以從世界上任何地方遠(yuǎn)程執(zhí)行。
感染鏈
Telegram RAT攻擊開始前,攻擊者需要?jiǎng)?chuàng)建一個(gè)Telegram帳戶和一個(gè)專用Telegram bot,或遠(yuǎn)程帳戶,這將允許他們以各種方式與其他用戶進(jìn)行交互,包括聊天、將好友添加到組或通過鍵入bot的Telegram用戶名和查詢直接從輸入字段發(fā)送請(qǐng)求。
然后,攻擊者將bot令牌與RAT或其他選定的惡意軟件捆綁,并通過基于電子郵件的垃圾郵件活動(dòng)將惡意軟件作為電子郵件附件傳播。比如說,攻擊者會(huì)通過一個(gè)名為“paypal checker by saint.exe”的文件來傳播惡意軟件。
一旦目標(biāo)用戶打開了惡意附件之后,就會(huì)連接到Telegram,并通過Telegram bot對(duì)目標(biāo)設(shè)備執(zhí)行遠(yuǎn)程攻擊。接下來,Telegram bot將使用消息服務(wù)將目標(biāo)設(shè)備連接回攻擊者的命令控制服務(wù)器。研究人員說,感染后攻擊者可以完全控制目標(biāo)設(shè)備,并從事一系列惡意活動(dòng)。
在CheckPoint觀察到的攻擊中,ToxicEye RAT被用來定位和竊取用戶設(shè)備上的密碼、計(jì)算機(jī)信息、瀏覽器歷史記錄和cookies;刪除和傳輸文件或終止PC進(jìn)程,以及接管PC的任務(wù)管理器;部署鍵盤記錄器或錄制目標(biāo)用戶周圍的音頻和視頻,以及竊取剪貼板內(nèi)容;用勒索軟件加密解密目標(biāo)用戶的檔案。
識(shí)別和緩解方案
CheckPoint的研究人員表示,如果你的電腦受感染的話,電腦里面將會(huì)存在一個(gè)名為“rat.exe”文件,路徑為“C:\Users\ToxicEye\rat[.]exe”。
如果目標(biāo)設(shè)備上沒有安裝Telegram應(yīng)用程序的話,廣大用戶也應(yīng)該監(jiān)控設(shè)備上跟Telegram相關(guān)的流量。
除此之外,收件人在處理可疑郵件時(shí),必須檢查郵件的收件人信息,如果沒有指定的收件人,或收件人未列出或未披露,則可能表明該電子郵件是釣魚或惡意郵件。