Telegramă este o aplicație convenabilă de chat. Chiar și creatorii malware cred! Toxiceye este un program de malware de șobolan care se află în rețeaua telegramei, comunicând cu creatorii săi prin serviciul de chat popular.
Malware-ul pe telegramă
La începutul anului 2021, scorurile utilizatorilor stânga whatsapp. Pentru aplicațiile de mesagerie promițând o mai bună securitate a datelor după anunțul companiei că va partaja metadatele utilizatorului cu Facebook în mod implicit. Mulți dintre acei oameni au mers la telegrama și semnalul aplicațiilor concurente.
Telegrama a fost cea mai descărcată aplicație, cu Peste 63 de milioane de instalații În ianuarie 2021, conform turnului senzorului. Chat-urile de telegramă nu sunt capăt la capăt, criptate asemănătoare semifabricatelor , Și acum, telegrama are o altă problemă: malware.
Punctul de verificare a companiei software recent descoperit Acești actori buni folosesc telegramă ca un canal de comunicare pentru un program malware numit Toxiceye. Se pare că unele caracteristici ale telegramei pot fi folosite de atacatori pentru a comunica cu malware-ul lor mai ușor decât prin instrumente bazate pe web. Acum, ei se pot dezmembra cu computerele infectate printr-o telegramă convenabilă chatbot.
Ce este Toxiceye și cum funcționează?
Toxiceye este un tip de malware numit a Acces la distanță Trojan (șobolan) . Șobolanii pot oferi un control al atacatorului unei mașini infectate de la distanță, ceea ce înseamnă că pot:
- fura date de pe computerul gazdă.
- Ștergeți sau transferați fișiere.
- Ucideți procesele care rulează pe computerul infectat.
- Hijack microfonul computerului și aparatul foto pentru a înregistra audio și video fără consimțământul sau cunoștințele utilizatorului.
- Criptați fișierele pentru a exorta o răscumpărare de la utilizatori.
Șobolanul Toxiceye este răspândit printr-o schemă de phishing în care o țintă este trimisă un e-mail cu un fișier exe încorporat. Dacă utilizatorul vizat deschide fișierul, programul instalează malware-ul pe dispozitivul lor.
Șobolanii sunt similari cu programele de acces la distanță care, spun, cineva din suport tehnic ar putea folosi pentru a face comanda computerului dvs. și a rezolva o problemă. Dar aceste programe se strecoară fără permisiune. Acestea pot imita sau pot fi ascunse cu dosare legitime, adesea deghizate ca un document sau incarcat intr-un dosar mai mare ca un joc video.
Cum folosesc atacatorii de telegramă pentru a controla malware-ul
Încă din 2017, atacatorii au folosit telegramă pentru a controla software-ul rău intenționat de la distanță. Un exemplu notabil al acestui lucru este Programul Masad Stealer. care a golit portofelele cripto ale victimelor în acel an.
Cercetătorul de puncte de control Omer Hofman spune că compania a găsit 130 de atacuri toxiceye folosind această metodă din februarie până în aprilie 20021 și există câteva lucruri care fac telegramă utilă actorilor răi care răspândesc malware.
Pentru un singur lucru, telegrama nu este blocată de software-ul firewall. De asemenea, nu este blocat de instrumentele de gestionare a rețelei. Este o aplicație ușor de utilizat pe care mulți oameni o recunosc ca fiind legitimă și, prin urmare, lăsați garda în jur.
Înregistrarea pentru telegramă necesită doar un număr mobil, astfel încât atacatorii pot rămâne anonim . De asemenea, le permite să atace dispozitive de pe dispozitivul lor mobil, ceea ce înseamnă că pot lansa un cyberattack de la aproape oriunde. Anonimatul face ca atribuirea atacurilor la cineva - și oprirea lor - extrem de dificilă.
Lanțul de infectare
Iată cum funcționează lanțul de infectare Toxiceye:
- Atacatorul creează mai întâi un cont de telegramă și apoi a Telegrama "Bot" care pot efectua acțiuni de la distanță prin aplicație.
- Acest jeton de bot este inserat în codul sursă rău intenționat.
- Acest cod rău intenționat este trimis ca spam de e-mail, care este adesea deghizat ca ceva legitim pe care utilizatorul ar putea face clic pe.
- Atașamentul se deschide, se instalează pe computerul gazdă și trimite informații înapoi la centrul de comandă al atacatorului prin intermediul telegramei.
Deoarece acest șobolan este trimis prin e-mail SPAM, nici măcar nu trebuie să fii un utilizator de telegramă care să fie infectat.
Stau în siguranță
Dacă credeți că ați descărcat Toxiceye, Check Point recomandă utilizatorilor să verifice următorul fișier de pe PC: C: \ Users \ Toxiceye \ Rat.exe
Dacă îl găsiți pe un computer de lucru, ștergeți fișierul din sistemul dvs. și contactați imediat biroul de ajutor. Dacă este pe un dispozitiv personal, ștergeți fișierul și executați imediat o scanare a software-ului antivirus.
La momentul scrisului, la sfârșitul lunii aprilie 2021, aceste atacuri au fost descoperite numai pe Windows PCS. Dacă nu aveți deja Un bun program antivirus Instalat, acum este momentul să-l obțineți.
Alte sfaturi încercate și adevărate pentru o bună "igienă digitală" se aplică, de asemenea, cum ar fi:
- Nu deschideți atașamentele de e-mail care arată suspicios și / sau sunt de la expeditori nefamiliare.
- Aveți grijă de atașamentele care conțin nume de utilizator. E-mailurile rău intenționate vor include adesea numele dvs. de utilizator în linia subiectului sau numele atașamentului.
- Dacă e-mailul încearcă să sune urgent, amenințând sau autoritar și să vă presați să faceți clic pe un link / atașament sau să oferiți informații sensibile, probabil că este rău intenționat.
- Utilizați software anti-phishing dacă puteți.
Codul Masa Stealer a fost pus la dispoziție pe GitHub după atacurile din 2017. Punctul de verificare spune că a dus la dezvoltarea unei gazde a altor programe rău intenționate, inclusiv Toxiceye:
"Deoarece Masad a devenit disponibilă pe forumurile de hacking, zeci de noi tipuri de malware care utilizează telegramă pentru [comandă și control] și exploatarea caracteristicilor telegramei pentru activități rău intenționate, au fost găsite ca arme" off-the-raft "în depozitele de scule de hacking în GitHub ".
Companiile care utilizează software-ul ar face bine să ia în considerare trecerea la altceva sau blocarea acestuia pe rețelele lor până când telegrama implementează o soluție pentru a bloca acest canal de distribuție.
Între timp, utilizatorii individuali ar trebui să-și păstreze ochii curățați, să fie conștienți de riscuri și să-și verifice în mod regulat sistemele pentru a elimina amenințările - și poate considera că trece la semnal.
