Telegrama es una aplicación de chat conveniente. Incluso los creadores de malware creen que sí! ToxicEye es un programa malicioso que RATA de lengüeta en la red de telegrama, la comunicación con sus creadores a través del servicio de chat popular.
El malware que los chats en Telegrama
A principios de 2021, las puntuaciones de los usuarios WhatsApp izquierda Para la mensajería aplicaciones que prometen una mejor seguridad de los datos después del anuncio de la empresa que compartiría los metadatos de usuario con Facebook por defecto. Muchas de esas personas fue a aplicaciones que compiten telegrama y de la señal.
Telegrama fue el más aplicación descargada, con más de 63 millones de instalaciones en enero de 2021, de acuerdo con la Torre del sensor. chats telegrama no son de extremo a extremo cifrado como los chats de señal , Y ahora, telegrama tiene otro problema: el malware.
compañía de software de Check Point Descubierto recientemente que son malos actores mediante telegrama como canal de comunicación para un programa de malware llamado ToxicEye. Resulta que algunas de las características del telegrama puede ser utilizado por los atacantes para comunicarse con sus programas maliciosos más fácilmente que a través de herramientas basadas en la web. Ahora, que puede meterse con los ordenadores infectados a través de un telegrama conversacional conveniente.
¿Qué es ToxicEye, y ¿cómo funciona?
ToxicEye es un tipo de malware llamado troyano de acceso remoto (RAT) . Las ratas pueden dar un atacante el control de una máquina infectada de forma remota, lo que significa que puede:
- robar datos desde el ordenador anfitrión.
- eliminar o transferir archivos.
- matar a los procesos que se ejecutan en el equipo infectado.
- secuestrar el micrófono del ordenador y la cámara de audio y video grabación sin el consentimiento o conocimiento del usuario.
- cifrar archivos para extorsionar un rescate de los usuarios.
El ToxicEye RAT es la propagación a través de un esquema de phishing, donde el objetivo se envía un correo electrónico con un archivo EXE incrustado. Si el usuario abre ese archivo, el programa instala el malware en su dispositivo.
Las ratas son similares a los programas de acceso remoto que, por ejemplo, alguien de soporte técnico puede utilizar para tomar el mando de su ordenador y reparar un problema. Sin embargo, estos programas se cuelan sin permiso. Pueden imitar o ser ocultado con archivos legítimos, a menudo disfrazados de un documento o incrustados en un archivo más grande como un videojuego.
Cómo los atacantes están utilizando Telegrama de Control de malware
Ya en 2017, los atacantes han estado utilizando Telegrama para controlar el software malicioso desde la distancia. Un ejemplo notable de esto es el programa Masad Stealer que cripto víctimas vacíos carteras de ese año.
Check Point investigador Omer Hofman dice que la compañía ha encontrado 130 ataques ToxicEye utilizando este método de febrero a abril de 2021, y hay algunas cosas que hacen Telegrama útil para los malos actores que la propagación de malware.
Por un lado, el telegrama no está bloqueado por el software de servidor de seguridad. Asimismo, no es bloqueada por las herramientas de gestión de red. Es una aplicación fácil de usar que muchas personas reconocen como legítimo, y por lo tanto, bajar la guardia alrededor.
El registro para Telegrama solamente requiere un número de teléfono móvil, por lo que los atacantes pueden permanecer anónimo . También les permite atacar a los dispositivos desde su dispositivo móvil, lo que significa que pueden lanzar un ataque cibernético desde casi cualquier lugar. El anonimato hace atribuyendo los ataques a alguien, y detenerlos-extremadamente difícil.
La cadena de infección
He aquí cómo funciona la cadena de infección ToxicEye:
- El atacante primero crea una cuenta telegrama y luego una Telegrama “bot” que puede llevar a cabo acciones de forma remota a través de la aplicación.
- Esa ficha bot se inserta en el código fuente maliciosa.
- Ese código malicioso se envía como correo electrónico SPAM, que a menudo se disfraza como algo legítimo de que el usuario puede hacer clic.
- El archivo adjunto se abre, se instala en la computadora host y envía información al centro de comandos del atacante a través del Bot de telegrama.
Debido a que esta rata se envía a través del correo electrónico de spam, ni siquiera tiene que ser un usuario de telegrama para infectarse.
Mantenerse seguro
Si cree que podría haber descargado Toxiceye, Check Point recomienda a los usuarios que verifiquen el siguiente archivo en su PC: C: \ Users \ toxiceye \ rat.exe
Si lo encuentra en una computadora de trabajo, borre el archivo de su sistema y póngase en contacto con su escritorio de ayuda de inmediato. Si está en un dispositivo personal, borre el archivo y ejecute una exploración de software antivirus de inmediato.
En el momento de escribir, hasta finales de abril de 2021, estos ataques solo se han descubierto en las PC con Windows. Si aún no tienes un buen programa antivirus Instalado, ahora es el momento de conseguirlo.
Otros consejos probados y verdaderos para la buena "higiene digital" también se aplica, como:
- No abra los archivos adjuntos de correo electrónico que parezcan sospechosos y / o de los remitentes desconocidos.
- Tenga cuidado con los archivos adjuntos que contienen nombres de usuario. Los correos electrónicos maliciosos a menudo incluyen su nombre de usuario en la línea de asunto o en un nombre de archivo adjunto.
- Si el correo electrónico está tratando de sonar urgentes, amenazadores o autorizados y presiona para hacer clic en un enlace / archivo adjunto o dar información confidencial, es probable que sea malicioso.
- Use el software anti-phishing si puede.
El código de Masad Stealer se puso a disposición en GitHub después de los ataques de 2017. El punto de control dice que ha llevado al desarrollo de una gran cantidad de otros programas maliciosos, incluido Toxiceye:
"Dado que Masad estuvo disponible en foros de piratería, docenas de nuevos tipos de malware que usan telegrama para [comando y control] y explotar las funciones de telegrama para la actividad maliciosa, se han encontrado como armas" fuera del estante "en los repositorios de herramientas de hacking en GitHub "
Las empresas que utilizan el software harían bien en considerar cambiar a otra cosa o bloquearla en sus redes hasta que el telegrama implemente una solución para bloquear este canal de distribución.
Mientras tanto, los usuarios individuales deben mantener los ojos bien abiertos, tenga en cuenta los riesgos y verifique sus sistemas regularmente para erradicar las amenazas, y tal vez considere cambiar a la señal.
