Télégramme est une application de discussion pratique. Même les créateurs de logiciels malveillants le pensent! Toxicye est un programme malveillant de rats que les piggybacks sur le réseau de Telegram, communiquant avec ses créateurs par le biais du service de discussion populaire.
Malware qui discute sur le télégramme
Au début de 2021, des scores d'utilisateurs Gauche WhatsApp Pour les applications de messagerie promettant une meilleure sécurité des données après l'annonce de la société qu'elle partagerait des métadonnées utilisateur avec Facebook par défaut. Beaucoup de ces personnes sont allées au télégramme et au signal des applications en compétition.
Telegram a été l'application la plus téléchargée, avec Plus de 63 millions d'installations En janvier 2021, selon la tour de capteur. Les chats de télégramme ne sont pas de bout en bout cryptés comme des chats de signal , et maintenant, le télégramme a un autre problème: les logiciels malveillants.
Point de contrôle de l'entreprise de logiciels récemment découvert Les mauvais acteurs utilisent le télégramme comme canal de communication pour un programme malveillant appelé TOXICEYE. Il s'avère que certaines des caractéristiques de Telegram peuvent être utilisées par des attaquants pour communiquer avec leurs logiciels malveillants plus facilement que par des outils Web. Maintenant, ils peuvent jouer avec des ordinateurs infectés via un télégramme de télégramme pratique.
Qu'est-ce que Toxiceye, et comment ça marche?
Toxiceye est un type de logiciel malveillant appelé un Trotjan d'accès à distance (rat) . Les rats peuvent donner un contrôle d'attaquant d'une machine infectée à distance, ce qui signifie qu'ils peuvent:
- volez des données de l'ordinateur hôte.
- Supprimer ou transférer des fichiers.
- Tuer des processus en cours d'exécution sur l'ordinateur infecté.
- Sacrez le microphone et la caméra de l'ordinateur pour enregistrer audio et vidéo sans le consentement ou la connaissance de l'utilisateur.
- chiffrer des fichiers pour extorquer une rançon à partir des utilisateurs.
Le rat toxiceye est propagé via un schéma de phishing où une cible est envoyée un courrier électronique avec un fichier EXE intégré. Si l'utilisateur ciblé ouvre le fichier, le programme installe les logiciels malveillants sur leur appareil.
Les rats sont similaires aux programmes d'accès à distance qui, selon que, par exemple, une personne du support technique peut utiliser pour prendre la commande de votre ordinateur et résoudre un problème. Mais ces programmes se faufrent sans permission. Ils peuvent imiter ou être masqués avec des fichiers légitimes, souvent déguisés sous forme de document ou intégré dans un fichier plus grand comme un jeu vidéo.
Comment les attaquants utilisent le télégramme pour contrôler les logiciels malveillants
Dès 2017, les attaquants utilisent le télégramme pour contrôler les logiciels malveillants à distance. Un exemple notable de ceci est le Programme Masad Stealer qui ont vidé les portefeuilles crypto des victimes qui ont été vidées cette année-là.
Check Point Chercher Omer Hofman dit que la société a trouvé 130 attaques Toxicye en utilisant cette méthode de février à avril de 2021, et il y a quelques points qui font du télégramme utile aux mauvais acteurs qui ont répandu des logiciels malveillants.
Pour une chose, le télégramme n'est pas bloqué par le logiciel pare-feu. Il n'est pas non plus bloqué par les outils de gestion de réseau. C'est une application facile à utiliser que beaucoup de gens reconnaissent comme légitime et laissent ainsi leur garde dans les bras.
S'inscrire au télégramme ne nécessite qu'un numéro de téléphone portable, les attaquants peuvent donc rester anonyme . Il leur permet également d'attaquer des appareils de leur appareil mobile, ce qui signifie qu'ils peuvent lancer une cyberattaque à peu près n'importe où. L'anonymat attribue aux attaques à quelqu'un - et à les arrêter - extrêmement difficile.
La chaîne d'infection
Voici comment fonctionne la chaîne d'infection Toxiceye:
- L'attaquant crée d'abord un compte de télégramme puis un Telegram "Bot," qui peut effectuer des actions à distance via l'application.
- Ce jeton Bot est inséré dans un code source malveillant.
- Ce code malveillant est envoyé sous forme de spam par courrier électronique, souvent déguisé comme une chose légitime que l'utilisateur peut cliquer sur.
- La pièce jointe est ouverte, s'installe sur l'ordinateur hôte et envoie des informations au centre de commande de l'attaquant via le bot de télégramme.
Parce que ce rat est envoyé via SPAM Email, vous n'avez même pas besoin d'être un utilisateur de télégramme pour être infecté.
Rester en sécurité
Si vous pensez que vous avez peut-être téléchargé Toxiceye, le point de contrôle conseille les utilisateurs de rechercher le fichier suivant sur votre PC: c: \ users \ toxiceye \ rat.exe
Si vous le trouvez sur un ordinateur de travail, effacez le fichier de votre système et contactez votre bureau immédiatement. Si c'est sur un périphérique personnel, effacez le fichier et exécutez immédiatement un logiciel antivirus.
Au moment de la rédaction, à la fin du 20 avril 2021, ces attaques n'ont été découvertes que sur les PC Windows. Si vous n'avez pas déjà un bon programme antivirus Installé, maintenant le temps de l'obtenir.
D'autres conseils éprouvés pour une bonne "hygiène numérique" s'appliquent également, comme:
- N'ouvrez pas les pièces jointes par e-mail qui semblent suspectes et / ou proviennent d'expéditeurs inconnus.
- Faites attention aux pièces jointes contenant des noms d'utilisateur. Les courriels malveillants incluent souvent votre nom d'utilisateur dans la ligne d'objet ou un nom de pièce jointe.
- Si l'e-mail tente de paraître urgent, menaçant ou faisant autorité et vous pressez de cliquer sur un lien / pièce jointe ou donnez des informations sensibles, c'est probablement malveillant.
- Utilisez un logiciel anti-phishing si vous le pouvez.
Le code Masad Stealer a été mis à disposition sur GitHub après les attaques de 2017. Le point de contrôle indique que cela a conduit au développement d'une foule d'autres programmes malveillants, y compris Toxiceye:
"Depuis que Masad est devenu disponible sur des forums de piratage, des dizaines de nouveaux types de logiciels malveillants qui utilisent le télégramme pour [commandement et contrôle] et exploitez les caractéristiques du Telegram pour l'activité malveillante, ont été trouvés comme des armes« hors de l'étagère »dans les référentiels d'outils de piratage dans Github . "
Les entreprises qui utilisent le logiciel feraient bien d'envisager de passer à autre chose ou de la bloquer sur leurs réseaux jusqu'à ce que le télégramme implémente une solution pour bloquer ce canal de distribution.
Entre-temps, les utilisateurs individuels doivent garder les yeux pelés, être conscients des risques et vérifier leurs systèmes régulièrement pour relancer les menaces - et peut-être envisager de passer au signal à la place.
