Wie RAT-Malware Telegramme verwendet, um eine Erkennung zu vermeiden

Eine schattenhafte Gestalt auf einem Laptop hinter einem Smartphone mit Telegram-Logo.

DANIEL CONSTANTE / Shutterstock.com



Telegramm ist eine praktische Chat-App. Sogar Malware-Ersteller denken so! ToxicEye ist ein RAT-Malware-Programm, das sich Huckepack im Netzwerk von Telegram befindet und mit seinen Schöpfern über den beliebten Chat-Dienst kommuniziert.

Malware, die über Telegram chattet

Signal vs. Telegram: Welches ist die beste Chat-App? VERBUNDEN Signal vs. Telegram: Welches ist die beste Chat-App? Anfang 2021 viele Nutzer WhatsApp verlassen für Messaging-Apps, die eine bessere Datensicherheit versprechen, nachdem das Unternehmen angekündigt hatte, Benutzer-Metadaten standardmäßig mit Facebook zu teilen. Viele dieser Leute gingen zu konkurrierenden Apps Telegram und Signal.





Telegram war die am häufigsten heruntergeladene App mit über 63 Millionen Installationen im Januar 2021, so Sensor Tower. Telegramm-Chats sind nicht Ende-zu-Ende-verschlüsselt wie Signal-Chats , und jetzt hat Telegram ein weiteres Problem: Malware.

Softwareunternehmen Check Point kürzlich entdeckt dass bösartige Akteure Telegram als Kommunikationskanal für ein Malware-Programm namens ToxicEye verwenden. Es stellt sich heraus, dass einige der Funktionen von Telegram von Angreifern verwendet werden können, um einfacher mit ihrer Malware zu kommunizieren als über webbasierte Tools. Jetzt können sie sich über einen praktischen Telegram-Chatbot mit infizierten Computern anlegen.



Was ist ToxicEye und wie funktioniert es?

Was ist RAT-Malware und warum ist sie so gefährlich? VERBUNDEN Was ist RAT-Malware und warum ist sie so gefährlich? ToxicEye ist eine Art von Malware namens a Fernzugriffstrojaner (RAT) . RATs können einem Angreifer aus der Ferne die Kontrolle über einen infizierten Computer geben, was bedeutet, dass sie:

  • Daten vom Host-Computer stehlen.
  • Dateien löschen oder übertragen.
  • beenden Sie Prozesse, die auf dem infizierten Computer ausgeführt werden.
  • Entführen Sie das Mikrofon und die Kamera des Computers, um Audio und Video ohne Zustimmung oder Wissen des Benutzers aufzunehmen.
  • Verschlüsseln Sie Dateien, um ein Lösegeld von Benutzern zu erpressen.

Die ToxicEye RAT wird über ein Phishing-Schema verbreitet, bei dem einem Ziel eine E-Mail mit einer eingebetteten EXE-Datei gesendet wird. Wenn der Zielbenutzer die Datei öffnet, installiert das Programm die Malware auf seinem Gerät.

RATs ähneln den RAS-Programmen, die beispielsweise jemand vom technischen Support verwenden könnte, um die Kontrolle über Ihren Computer zu übernehmen und ein Problem zu beheben. Aber diese Programme schleichen sich ohne Erlaubnis ein. Sie können legitime Dateien nachahmen oder versteckt werden, oft als Dokument getarnt oder in eine größere Datei wie ein Videospiel eingebettet werden.



Wie Angreifer Telegramme verwenden, um Malware zu kontrollieren

Bereits 2017 nutzen Angreifer Telegram, um Schadsoftware aus der Ferne zu kontrollieren. Ein bemerkenswertes Beispiel dafür ist der Masad Stealer-Programm die in diesem Jahr die Krypto-Wallets der Opfer geleert haben.

Anzeige

Check Point-Forscher Omer Hofman sagt, dass das Unternehmen von Februar bis April 2021 130 ToxicEye-Angriffe mit dieser Methode gefunden hat, und es gibt einige Dinge, die Telegram für bösartige Akteure, die Malware verbreiten, nützlich machen.

Zum einen wird Telegram nicht von Firewall-Software blockiert. Es wird auch nicht von Netzwerkverwaltungstools blockiert. Es ist eine einfach zu bedienende App, die viele Leute als legitim anerkennen und daher ihre Wachsamkeit im Stich lassen.

So melden Sie sich anonym für Signal oder Telegramm an VERBUNDEN So melden Sie sich anonym für Signal oder Telegramm an Die Registrierung für Telegram erfordert nur eine Handynummer, damit Angreifer bleiben können anonym . Es ermöglicht ihnen auch, Geräte von ihrem mobilen Gerät aus anzugreifen, was bedeutet, dass sie von fast überall einen Cyberangriff starten können. Anonymität macht es extrem schwierig, die Angriffe jemandem zuzuordnen und sie zu stoppen.

Die Infektionskette

So funktioniert die ToxicEye-Infektionskette:

  1. Der Angreifer erstellt zuerst ein Telegram-Konto und dann a Telegramm-Bot, die über die App Aktionen aus der Ferne ausführen können.
  2. Dieses Bot-Token wird in bösartigen Quellcode eingefügt.
  3. Dieser bösartige Code wird als E-Mail-Spam versendet, der oft als legitimer Code getarnt wird, auf den der Benutzer klicken könnte.
  4. Der Anhang wird geöffnet, auf dem Host-Computer installiert und über den Telegram-Bot Informationen an die Kommandozentrale des Angreifers zurückgesendet.

Da diese RAT per Spam-E-Mail versendet wird, müssen Sie nicht einmal ein Telegram-Benutzer sein, um sich zu infizieren.

Sicher bleiben

Wenn Sie denken, dass Sie ToxicEye heruntergeladen haben, empfiehlt Check Point den Benutzern, auf Ihrem PC nach der folgenden Datei zu suchen: C:BenutzerToxicEye at.exe

Wenn Sie sie auf einem Arbeitscomputer finden, löschen Sie die Datei von Ihrem System und wenden Sie sich sofort an Ihren Helpdesk. Wenn es sich auf einem persönlichen Gerät befindet, löschen Sie die Datei und führen Sie sofort einen Antiviren-Software-Scan durch.

Anzeige

Zum Zeitpunkt des Schreibens, Ende April 2021, wurden diese Angriffe nur auf Windows-PCs entdeckt. Falls noch nicht vorhanden ein gutes Antivirenprogramm installiert, jetzt ist es an der Zeit, es zu bekommen.

Es gelten auch andere bewährte Ratschläge für eine gute digitale Hygiene, wie zum Beispiel:

  • Öffnen Sie keine E-Mail-Anhänge, die verdächtig aussehen und/oder von unbekannten Absendern stammen.
  • Seien Sie vorsichtig bei Anhängen, die Benutzernamen enthalten. Schädliche E-Mails enthalten oft Ihren Benutzernamen in der Betreffzeile oder einen Anhangsnamen.
  • Wenn die E-Mail dringend, bedrohlich oder autoritär zu klingen versucht und Sie dazu drängt, auf einen Link/Anhang zu klicken oder vertrauliche Informationen anzugeben, ist sie wahrscheinlich bösartig.
  • Verwenden Sie nach Möglichkeit Anti-Phishing-Software.

Der Masad Stealer-Code wurde nach den Angriffen von 2017 auf Github verfügbar gemacht. Check Point sagt, dass dies zur Entwicklung einer Vielzahl anderer bösartiger Programme geführt hat, darunter ToxicEye:

Seit Masad in Hacking-Foren verfügbar wurde, wurden Dutzende neuer Arten von Malware, die Telegram für [Befehle und Kontrolle] verwenden und die Funktionen von Telegram für böswillige Aktivitäten ausnutzen, als Standardwaffen in Hacking-Tool-Repositorys in GitHub gefunden.

Unternehmen, die die Software verwenden, sollten in Erwägung ziehen, auf etwas anderes umzusteigen oder es in ihren Netzwerken zu blockieren, bis Telegram eine Lösung implementiert, um diesen Vertriebskanal zu blockieren.

In der Zwischenzeit sollten einzelne Benutzer die Augen offen halten, sich der Risiken bewusst sein und ihre Systeme regelmäßig überprüfen, um Bedrohungen auszumerzen – und vielleicht stattdessen einen Wechsel zu Signal in Betracht ziehen.

WEITER LESEN Profilfoto von John Bogna John Bogna
John ist ein freiberuflicher Autor und Fotograf mit Sitz in Houston, Texas. Sein zehnjähriger Hintergrund umfasst Themen von Technologie bis Kultur und umfasst Arbeiten für die Seattle Times, die Houston Press, OneZero von Medium, WebMD und MailChimp. Bevor er nach The Bayou City zog, erwarb John einen B.A. in Journalismus von der CSU Long Beach.
Vollständige Biografie lesen

Interessante Artikel