電報 便利なチャットアプリです。マルウェアの作成者でさえもだと思います! Toxiceyeは、人気のあるチャットサービスを通じて、テレグラムのネットワーク上にピギーバックするラットマルウェアプログラムです。
電信でチャットするマルウェア
2021年の初め、ユーザーのスコア 左whatsapp. Messaging Appsは、デフォルトでFacebookでユーザーメタデータを共有することが、会社の発表後により良いデータセキュリティを約束します。多くの人々が競合するアプリテレグラムとシグナルに行きました。
テレグラムは最もダウンロードされたアプリでした 6300万以上のインストール センサータワーによると、2021年1月に。 テレグラムチャットは、シグナルチャットのようにエンドツーエンド暗号化されていません そして今、テレグラムは別の問題を抱えています:マルウェア。
ソフトウェア会社のチェックポイント 最近発見されました その悪い俳優は、Toxiceyeというマルウェアプログラムのための通信チャネルとして電文を使用しています。テレグラムのいくつかは、Webベースのツールよりも簡単に自分のマルウェアと通信するために攻撃者によって使用されることができます。今、彼らは便利なテレグラムチャットボットを介して感染したコンピュータを台無しにすることができます。
Toxiceyeとは何ですか、そしてそれはどのように機能しますか?
Toxiceyeは、Aと呼ばれるマルウェアの一種です リモートアクセストロイの木馬(ラット) 。ラットは、感染したマシンの攻撃者管理をリモートで与えることができます。
- ホストコンピュータからデータを盗みます。
- ファイルを削除または転送します。
- 感染したコンピュータで実行されているプロセスを倒します。
- ユーザーの同意や知識なしで、オーディオとビデオを録音するようにコンピュータのマイクとカメラをハイジャックします。
- ファイルを暗号化してユーザーから身代金を延長します。
Toxiceyeラットはフィッシング方式を介して拡散され、そこでターゲットが埋め込まれたEXEファイルを含む電子メールに送信されます。ターゲットユーザーがファイルを開くと、プログラムは自分のデバイスにマルウェアをインストールします。
ラットは、Tech Supportの誰かがあなたのコンピュータのコマンドを取得して問題を解決するために使用するかもしれないリモートアクセスプログラムと似ています。しかし、これらのプログラムは許可なしにこっそりしています。彼らは、しばしば文書として偽装されるか、ビデオゲームのようなより大きなファイルに埋め込まれている正当なファイルで模倣するか、または隠されていることができます。
攻撃者が電文を使用してマルウェアを制御する方法
2017年の早い時期に、攻撃者は距離から悪意のあるソフトウェアを制御するために電信を使用しています。これの注目すべき例はです マサードスティールプログラム その年の被害者の暗号財布を空にした。
Check Point Researter Omer Hofmanは、2021年2月から4月までこの方法を使用して130のToxiceye攻撃を発見し、マルウェアを広げた悪い俳優に役立つことがいくつかあります。
一つのことにとって、電報はファイアウォールソフトウェアによってブロックされません。ネットワーク管理ツールによってもブロックされていません。多くの人が正当なものとして認識していること、したがって彼らの警備員を守ることができれば使いやすいアプリです。
電報の登録は携帯電話番号だけを必要とするため、攻撃者は残ることができます 匿名 。それはまた彼らが彼らのモバイルデバイスからデバイスを攻撃することを可能にします。匿名性は、誰かへの攻撃を起こし、それらを止める - 非常に困難です。
感染鎖
Toxiceye Infectionチェーンが機能する方法は次のとおりです。
- 攻撃者は最初に電信アカウントを作成してから テレグラム「ボット」 これはアプリを通して遠隔操作を実行できます。
- そのボットトークンは悪意のあるソースコードに挿入されています。
- 悪意のあるコードは電子メールスパムとして送出されます。
- 添付ファイルが開かれ、ホストコンピュータにインストールされ、テレグラムのボットを介して攻撃者のコマンドセンターに情報を送信します。
このラットはスパム電子メールを介して送出されるので、感染するための電文ユーザーでさえある必要さえありません。
安全に滞在する
Toxiceyeをダウンロードしたと思われる場合は、チェックポイントがユーザーに次のファイルをチェックするようにユーザーにアドバイスします.C:\ users \ toxiceye \ rat.exe
作業コンピュータで見つかった場合は、システムからファイルを消去して、ヘルプデスクにすぐに連絡してください。それが個人的なデバイス上にある場合は、ファイルを消去してAntiVirusソフトウェアスキャンをすぐに実行します。
書き込み時点で、2021年4月下旬の時点で、これらの攻撃はWindows PCSでのみ発見されました。まだ持っていないのなら 良いアンチウイルスプログラム インストールされた、今それを得る時が来ました。
良い「デジタル衛生」のためのその他の試みられた真実のアドバイスも適用されます:
- 不審や/またはなじみのない送信者からのものである電子メールの添付ファイルを開かないでください。
- ユーザー名を含む添付ファイルに注意してください。悪意のある電子メールは、件名または添付ファイル名にユーザー名を含めることがよくあります。
- 電子メールが緊急、脅迫的、または権威ある権限を促し、あなたがリンク/添付ファイルをクリックするか、または機密情報を与えるためにあなたを圧力をかけようとしているならば、それはおそらく悪意のあるものです。
- できる場合はフィッシング防止ソフトウェアを使用してください。
MASAD STEALERコードは、2017年の攻撃に続いてGitHubで入手可能にされました。チェックポイントは、Toxiceyeを含む他の悪意のあるプログラムのホストの開発につながっていると言っています。
「MASADはハッキングフォーラムで利用可能になったため、[コマンドとコントロールのためにテレグラムを使用し、悪意のある活動のためのテレグラムの機能を使用する新しいタイプのマルウェアの何十もの新しいタイプのマルウェアが、GitHubのハッキングツールリポジトリの「オフザスの」武器として見つかりました。 。」
ソフトウェアを使用する企業は、テレグラムがこの配布チャネルをブロックするための解決策を実装するまで、他のものに切り替えることやネットワーク上でそれをブロックすることを検討するためにうまくいきます。
その間に、個々のユーザーは自分の目を剥がして、リスクを知っておくべきであり、脅威を根絶するために定期的に自分のシステムをチェックする必要があります。
