Hvordan RAT malware Brug Telegram at undgå at blive opdaget

Apr 30, 2025
Privatliv og sikkerhed
Daniel ConseTe / Shutterstock.com

Telegram er en bekvem chat app. Selv malware skabere tror det! Toxiceye er et rotte-malware-program, som piggybacks på telegrams netværk, kommunikerer med sine skabere gennem den populære chat-service.

Malware, der chats på telegram

Tidligt i 2021, scoringer af brugere venstre whatsapp. Til messaging apps lovende bedre datasikkerhed efter virksomhedens meddelelse om, at det ville dele bruger metadata med Facebook som standard. Mange af disse mennesker gik til konkurrerende apps telegram og signal.

Telegrammet var den mest downloadede app med Over 63 millioner installationer I januar 2021, ifølge sensortårnet. Telegram chats er ikke end-to-end krypterede som signal chats , og nu har telegram et andet problem: malware.

Software Company Check Point for nylig opdaget De dårlige skuespillere bruger telegrammet som en kommunikationskanal til et malware-program kaldet toksiceye. Det viser sig, at nogle af telegrammets funktioner kan bruges af angriberne til at kommunikere med deres malware lettere end gennem webbaserede værktøjer. Nu kan de rodde med inficerede computere via en bekvem telegram chatbot.

Hvad er toksiceye, og hvordan virker det?

Toksiceye er en form for malware kaldet a Fjernadgang Trojan (Rat) . Rotter kan give en angriberekontrol af en inficeret maskine eksternt, hvilket betyder, at de kan:
  • stjæle data fra værtscomputeren.
  • Slet eller overfør filer.
  • Dræb processer kører på den inficerede computer.
  • Hijack computerens mikrofon og kamera til at optage lyd og video uden brugerens samtykke eller viden.
  • Krypter filer for at udpresse en løsepenge fra brugere.

Toksaceye rotten spredes via et phishing-skema, hvor et mål sendes en email med en indlejret EXE-fil. Hvis den målrettede bruger åbner filen, installerer programmet malware på deres enhed.

Rotter ligner de fjernadgangsprogrammer, der siger, at nogen i teknisk support kan bruge til at tage kommandoen over din computer og løse et problem. Men disse programmer sniger sig ind uden tilladelse. De kan efterligne eller være skjult med legitime filer, ofte forklædt som et dokument eller indlejret i en større fil som et videospil.

Hvordan angriberne bruger telegram til at kontrollere malware

Så tidligt som i 2017 har angriberne brugt telegram til at kontrollere ondsindet software fra en afstand. Et bemærkelsesværdigt eksempel på dette er det Masad Stealer Program der tømte ofre krypto tegnebøger det år.

Check Point Forsker Omer Hofman siger, at virksomheden har fundet 130 toksiceye angreb ved hjælp af denne metode fra februar til april 2021, og der er et par ting, der gør telegrammet nyttigt til dårlige skuespillere, der spredes malware.

For en ting er telegrammet ikke blokeret af firewall-software. Det er heller ikke blokeret af netværksstyringsværktøjer. Det er en nem at bruge app, som mange mennesker genkender som legitime, og så lad deres vagt ned rundt.

Registrering af telegram kræver kun et mobilnummer, så angriberne kan forblive anonym . Det lader dem også angribe enheder fra deres mobilenhed, hvilket betyder, at de kan starte et cyberangreb fra næsten hvor som helst. Anonymitet gør at tildele angrebene til nogen - og stoppe dem yderst vanskeligt.

Infektionskæden

Sådan fungerer toxiceye infektionskæden:

  1. Angriberen opretter først en telegramkonto og derefter en Telegram "bot", " som kan udføre handlinger eksternt via appen.
  2. At bot token indsættes i ondsindet kildekode.
  3. At ondsindet kode sendes ud som e-mail-spam, som ofte er forklædt som noget legitimt, at brugeren måske klikker på.
  4. Vedhæftet fil bliver åbnet, installerer på værtscomputeren og sender information tilbage til angriberens kommandocenter via Telegram Bot.

Fordi denne rotte sendes ud via spam-e-mail, behøver du ikke engang at være en telegrambruger for at blive inficeret.

Opholder sig sikker

Hvis du tror, ​​at du måske har downloadet Toxiceye, anbefaler check Point brugere at tjekke for følgende fil på din pc: C: \ Users \ toksiceye \ rat.exe

Hvis du finder den på en arbejdscomputer, skal du slette filen fra dit system og straks kontakte din helpdesk. Hvis det er på en personlig enhed, skal du slette filen og køre en antivirus software scan med det samme.

På tidspunktet for skrivningen, fra slutningen af ​​april 2021, er disse angreb kun blevet opdaget på Windows-pc'er. Hvis du ikke allerede har det Et godt antivirusprogram Installeret, nu er det tid til at få det.

Andre forsøgte og sande råd til god "digital hygiejne" gælder også, som:

  • Åbn ikke e-mail vedhæftede filer, der ser mistænkelige og / eller er fra ukendte afsendere.
  • Pas på vedhæftede filer, der indeholder brugernavne. Ondsindede e-mails vil ofte indeholde dit brugernavn i emnelinjen eller et fastgørelsesnavn.
  • Hvis e-mailen forsøger at lyde presserende, truende eller autoritative og presser dig til at klikke på et link / vedhæftning eller give følsomme oplysninger, er det nok ondsindet.
  • Brug anti-phishing-software, hvis du kan.

MASAD STEALER-koden blev stillet til rådighed på GitHub efter 2017-angrebene. Check Point siger, at der har ført til udviklingen af ​​en lang række andre ondsindede programmer, herunder toksiceye:

"Da Masad blev tilgængelig på hackingfora, er dusinvis af nye typer malware, der bruger telegrammet til [kommando og kontrol] og udnyttelse af telegrammets funktioner til ondsindet aktivitet, blevet fundet som 'off-the-shelf' våben i hacking værktøjsrepositorier i Github . "

Virksomheder, der bruger softwaren, ville gøre det godt at overveje at skifte til noget andet eller blokere det på deres netværk, indtil Telegram implementerer en løsning for at blokere denne distributionskanal.

I mellemtiden skal de enkelte brugere holde øjnene skrællet, være opmærksom på risiciene og tjek deres systemer regelmæssigt for at udrydde trusler - og måske overveje at skifte til signal i stedet.

Privatliv og sikkerhed - Mest populære artikler

Sådan overfører du LastPass-adgangskoder til 1Password

Privatliv og sikkerhed Feb 22, 2025

Maor_winetrob / shutterstock. LastPass og 1Password er begge robuste adgangskode ledere med en dokumenteret track record. Men hvis du er færdig med..

Sådan slettes din LastPass-konto

Privatliv og sikkerhed Feb 21, 2025

Maor_winetrob / shutterstock. Besluttede at flytte væk fra LastPass? Det er på tide at sige din endelige farvel ved at slette din konto. Dette sikrer, at i..

Sådan slettes en reddit-konto

Privatliv og sikkerhed Feb 10, 2025

Piotr Swat / Shutterstock.com Hvis du ikke længere er interesseret i at bruge Reddit, kan du slette din konto. Men du bliver nødt til at hoppe gennem nogle..

Sådan stopper du T-Mobile fra at sælge dine webbrowsing data til annoncører

Privatliv og sikkerhed Mar 10, 2025

VDB Billeder / Shutterstock.com T-Mobile begynder at dele dine webbrowsing og mobile app-data med annoncører, der starter 26. april, 2021. T-Mobile kan auto..

Hvad er 1Passwords rejsemodus, og hvordan sætter du det op?

Privatliv og sikkerhed Apr 11, 2025

En af vores favorit password managers. , 1Password, giver dig mulighed for midlertidigt at fjerne nogle kontooplysninger fra alle dine enheder. Denne funktion hedder "rejsemod..

Sådan opretter du PGP-kryptering i protonmail

Privatliv og sikkerhed Apr 5, 2025

Temmelig godt privatliv, eller PGP for kort, lader dig låse dine e-mail-beskeder, så kun den tilsigtede modtager med nøglen kan se dem. Protonmail. er en af ​​de få e-..

38 millioner brugere data udsat af Microsoft Power Apps

Privatliv og sikkerhed Aug 23, 2025

VDB Billeder / Shutterstock.com Microsofts Power Apps Portal Service er designet til at gøre udviklingen af ​​web- eller mobilapps lettere. Uhe..

Hackere bruger Internet Explorer til at angribe Windows 10

Privatliv og sikkerhed Sep 8, 2025

Valery Brozhinsky / Shutterstock Microsoft har advaret alle, at angriberne udnytter en tidligere uopdaget nul-dags sårbarhed i Windows 10. og flere..

Kategorier