Hakerzy używają Telegrama do dystrybucji i kontroli złośliwego oprogramowania!

Liczący ponad 500 milionów użytkowników komunikator Telegram jest wykorzystywany przez hakerów do zdalnej dystrybucji nowego złośliwego oprogramowania o nazwie „ToxicEye” – informuje firma Check Point Research, która wyśledziła ponad 130 ataków realizowanych za pomocą popularnej aplikacji. W momencie zainstalowania oprogramowania na komputerze ofiary, hakerzy mogli przejąć dane użytkownika, usuwać lub modyfikować pliki, przejmować dostęp do kamery lub mikrofonu, a nawet szyfrować pliki

Telegram, platforma komunikacyjna oparta o chmurę, cieszyła się w tym roku wzrostem popularności z powodu kontrowersyjnych zmian w ustawieniach prywatności swojego rywala - WhatsApp. Telegram był najczęściej pobieraną aplikacją na świecie w styczniu 2021 r., a dzięki ponad 63 milionom instalacji i przekroczył 500 milionów aktywnych użytkowników. Rosnąca popularność rozciąga się również na społeczność cyberprzestępców, bowiem twórcy złośliwego oprogramowania coraz częściej używają Telegrama, jako gotowego systemu dowodzenia i kontroli (C&C) dla swoich szkodliwych programów.

W ostatnich trzech miesiącach Check Point Research odnotował ponad 130 ataków przy użyciu nowego wielofunkcyjnego trojana zdalnego dostępu (RAT), nazwanego „ToxicEye”. Rozpowszechniany za pomocą wiadomości phishingowych ToxicEye, w momencie zainstalowania na komputerze ofiary może przejąć dane użytkownika, usuwać lub modyfikować pliki, przejmować dostęp do kamery lub mikrofonu, a nawet szyfrować pliki. To właśnie m.in. ten typ malware’u może być obsługiwany za pomocą komunikatora Telegram.

- Wykryliśmy wzrastający trend, w którym autorzy szkodliwego oprogramowania używają platformy Telegram jako gotowego systemu dowodzenia i kontroli w celu dystrybucji złośliwego oprogramowania do organizacji. System ten umożliwia złośliwemu oprogramowaniu otrzymywanie przyszłych poleceń i operacji za pomocą usługi Telegram, nawet jeśli Telegram nie jest zainstalowany ani używany na urządzeniu. Złośliwe oprogramowanie, które wykorzystali hakerzy, można łatwo znaleźć na portalach takich jak Github. – mówi Idan Sharabi, menedżer działu R&D w Check Point Software Technologies.

Co ciekawe, Telegram jako infrastruktura C&C dla złośliwego oprogramowania po raz pierwszy został wykorzystany już w 2017 r. tzw. stealera „Masad”. Przestępcy stojący za „Masadem” zdali sobie sprawę, że korzystanie z popularnej usługi komunikatora internetowego jako integralnej części ich ataków przyniosło im szereg korzyści operacyjnych. Zdaniem ekspertów najważniejszymi cechami przemawiającymi za wykorzystaniem Telegrama są anonimowość, legalność i stabilność usługi, która nie jest blokowana przez silniki antywirusowe, a także łatwa eksfiltracja. 

Uważamy, że atakujący wykorzystują fakt, że Telegram jest używany i dozwolony w prawie wszystkich organizacjach, próbując w ten sposób ominąć systemy bezpieczeństwa. – dodaje ekspert Check Pointa.