Hur RAT Malware använder Telegram för att undvika upptäckt

Apr 30, 2025
Sekretess och säkerhet
Daniel Constante / Shutterstock.com

Telegram är en bekväm chatt app. Även malware skapare tror det! ToxiceYe är ett råttmalwareprogram som piggybacks på Telegrams nätverk, kommunicerar med sina skapare genom den populära chattjänsten.

Malware som chattar på telegram

Tidigt 2021, poäng av användare lämnade whatsapp För meddelanden Apps lovande bättre datasäkerhet efter bolagets tillkännagivande att det skulle dela användarmetadata med Facebook som standard. Många av dessa människor gick till konkurrerande apps telegram och signal.

Telegram var den mest nedladdade appen, med Över 63 miljoner installationer I januari 2021, enligt sensortornet. Telegramchats är inte slutgiltiga krypterade som signalchats , Och nu har telegram ett annat problem: malware.

Software Company Check Point nyligen upptäckt De dåliga skådespelarna använder telegram som en kommunikationskanal för ett malwareprogram som heter Toxiceye. Det visar sig att vissa av telegrams funktioner kan användas av attacker för att enkelt kommunicera med sina skadliga program än via webbaserade verktyg. Nu kan de röra med smittade datorer via ett bekvämt telegramschatbot.

Vad är toxiceye, och hur fungerar det?

Toxiceye är en typ av skadlig kod som heter a Fjärråtkomst Trojan (RAT) . Råttor kan ge en angripare kontroll av en smittad maskin på distans, vilket innebär att de kan:
  • stjäl data från värddatorn.
  • Ta bort eller överföra filer.
  • Döda processer som körs på den infekterade datorn.
  • Hijack datorns mikrofon och kamera för att spela in ljud och video utan användarens samtycke eller kunskap.
  • Kryptera filer för att uträtta ett lösen från användare.

Toxiceye-råttan sprids via ett phishing-system där ett mål skickas ett mail med en inbäddad EXE-fil. Om den riktade användaren öppnar filen installerar programmet skadlig kod på sin enhet.

Råttor liknar de fjärråtkomstprogram som säger att någon i tekniskt stöd kan använda för att ta kommandot av din dator och fixa ett problem. Men dessa program smygar utan tillstånd. De kan efterlikna eller vara dolda med legitima filer, ofta förklädd som ett dokument eller inbäddat i en större fil som ett videospel.

Hur angripare använder telegram för att kontrollera skadlig kod

Så tidigt som 2017 har angripare använt telegram för att kontrollera skadlig programvara från ett avstånd. Ett anmärkningsvärt exempel på detta är Masad Stealer Program som tömde offrens krypto plånböcker det året.

Check Point Forskare Omer Hofman säger att företaget har hittat 130 toxiceye-attacker med hjälp av den här metoden från februari till april 2021, och det finns några saker som gör telegram till nytta för dåliga aktörer som sprider skadlig kod.

För en sak är telegram inte blockerad av brandväggsprogram. Det är också inte blockerat av verktygshanteringsverktyg. Det är en lättanvänd app som många känner igen som legitima, och sålunda, låt deras vakt ner runt.

Registrering för telegram kräver endast ett mobilnummer, så attacker kan förbli anonym . Det låter dem också attackera enheter från sin mobila enhet, vilket innebär att de kan starta en cyberattack från nästan var som helst. Anonymitet gör attackerna till någon - och stoppa dem-extremt svåra.

Infektionskedjan

Så här fungerar toxiceinfektionskedjan:

  1. Anfallaren skapar först ett telegramkonto och sedan a Telegram "bot" som kan utföra åtgärder på distans via appen.
  2. Den botkornet sätts in i skadlig källkod.
  3. Den skadliga koden skickas ut som e-postspam, som ofta är förtäckt som något legitimt att användaren kan klicka på.
  4. Fästet öppnas, installeras på värddatorn och skickar information till Attackerens kommandocenter via telegrambotten.

Eftersom den här råttan skickas ut via spam-e-post, behöver du inte ens vara en telegramanvändare för att bli smittad.

Hålla sig säker

Om du tror att du kanske har laddat ner ToxiceYe, rekommenderar du användarna att kontrollera följande fil på din dator: c: \ users \ toxiceye \ rat.exe

Om du hittar den på en arbetsdator, raderar du filen från ditt system och kontakta din helpdesk omedelbart. Om det är på en personlig enhet, radera filen och kör en antivirusprogramskanning direkt.

Vid skrivetiden, från och med slutet av april 2021, har dessa attacker bara upptäckts på Windows-datorer. Om du inte redan har Ett bra antivirusprogram Installerad, nu är det dags att få det.

Andra provade och sanna råd för bra "digital hygien" gäller också, som:

  • Öppna inte e-postmeddelanden som ser misstänkta ut och / eller är från obekanta avsändare.
  • Var försiktig med tillbehör som innehåller användarnamn. Skadliga e-postmeddelanden inkluderar ofta ditt användarnamn i ämnesraden eller ett bifogningsnamn.
  • Om e-postmeddelandet försöker låta brådskande, hotande eller auktoritativt och trycka dig på att klicka på en länk / bilaga eller ge känslig information, är det förmodligen skadligt.
  • Använd anti-phishing-programvara om du kan.

Masad-stjälkoden gjordes tillgänglig på GitHub efter attackerna 2017. Kontrollera punkten säger att det har lett till utvecklingen av en mängd andra skadliga program, inklusive toxiceye:

"Eftersom Masad blev tillgänglig på hackingforum, har dussintals nya typer av skadlig kod som använder telegram för [Command and Control] och utnyttjat Telegrams funktioner för skadlig aktivitet, visat sig som" off-the-hylla "vapen i hacking verktygsregistrering i GitHub .

Företag som använder programvaran skulle göra det bra att överväga att byta till något annat eller blockera det på sina nätverk tills telegram implementerar en lösning för att blockera denna distributionskanal.

Under tiden bör enskilda användare hålla ögonen avskalade, var medvetna om riskerna och kontrollera sina system regelbundet för att rota ut hot - och kanske överväga att byta till signal istället.

Sekretess och säkerhet - Mest populära artiklar

Hur dölja din ”Senast sett Online” Time in Telegram

Sekretess och säkerhet Feb 15, 2025

Arthur_shevtsov / Shutterstock.com Telegram är en populär meddelandeprogram som lägger tonvikt på integritet, men inte så mycket som sign..

Hur Anonymous är Bitcoin?

Sekretess och säkerhet Jul 30, 2025

Lukas Gojda / Shutterstock.com Kryptokraktion, och Bitcoin Speciellt har ett rykte för att vara en helt anonym betalningsform, fri från spårning ..

Apple diskuterar ”Screeching Uttrycker av Minoritets” i inre Memos

Sekretess och säkerhet Aug 6, 2025

Lewis Tse Pui Lung / Shutterstock.com Är du orolig för Apples planer på att skanna iPhones för vissa bilder ? Enligt en anteckning som det natio..

Ditt Microsoft-konto behöver inte längre ett lösenord

Sekretess och säkerhet Sep 15, 2025

Hadrian / Shutterstock.com Lösenorden blir snabbt en föråldrad metod för att logga in i konton. Med detta i åtanke har Microsoft lagt till möjligheten ..

PSA: Outlook kontaktkort kan enkelt falska

Sekretess och säkerhet Sep 7, 2025

Phishing attacker är ett av de äldsta sätten för skadliga individer att stjäla information, och en gammal skola phishing-metod har hittat sig i Outlook. Med hjälp av tecke..

SCUF Gaming är den senaste företaget att läcka ditt kreditkortsnummer

Sekretess och säkerhet Oct 22, 2025

wk1003mike / shutterstock.com Det verkar som varje dag, det finns några hacka eller läcka som får personuppgifter att läcka. Ibland �..

Du kan nu säkert dela lösenord med 1Password

Sekretess och säkerhet Oct 12, 2025

1Password 1passord är en potent verktyg för att hålla reda på dina lösenord. Det fortsätter att få nya funktioner, och nu är det ett enkelt sätt att..

Hur att dölja din WhatsApp status från specifika Friends

Sekretess och säkerhet Nov 13, 2024

Din Whatsapp-status (som visas som en Berättelse ) är synlig för alla på din kontaktlista som standard. Men du kanske vill dölja din status från specifika vänner. Så h..

Kategorier