Com el programari maliciós RAT utilitza Telegram per evitar la detecció

Una figura fosca en un ordinador portàtil darrere d

DANIEL CONSTANT/Shutterstock.com



Telegrama és una aplicació de xat convenient. Fins i tot els creadors de programari maliciós ho pensen! ToxicEye és un programa de programari maliciós RAT que es troba a la xarxa de Telegram i es comunica amb els seus creadors mitjançant el popular servei de xat.

Programari maliciós que xateja a Telegram

Signal vs Telegram: quina és la millor aplicació de xat? RELACIONATS Signal vs Telegram: quina és la millor aplicació de xat? A principis del 2021, desenes d'usuaris va deixar WhatsApp per a aplicacions de missatgeria que prometen una millor seguretat de les dades després de l'anunci de la companyia que compartiria metadades d'usuari amb Facebook de manera predeterminada. Moltes d'aquestes persones van anar a les aplicacions competidores Telegram i Signal.





Telegram va ser l'aplicació més baixada, amb més de 63 milions d'instal·lacions al gener de 2021, segons Sensor Tower. Els xats de Telegram no estan xifrats d'extrem a extrem com els xats de Signal , i ara, Telegram té un altre problema: programari maliciós.

Companyia de programari Check Point descobert recentment que els mals actors estan utilitzant Telegram com a canal de comunicació per a un programa de programari maliciós anomenat ToxicEye. Resulta que algunes de les funcions de Telegram les poden utilitzar els atacants per comunicar-se amb el seu programari maliciós més fàcilment que a través d'eines basades en web. Ara, poden embolicar-se amb ordinadors infectats mitjançant un còmode chatbot de Telegram.



Què és ToxicEye i com funciona?

Què és el programari maliciós RAT i per què és tan perillós? RELACIONATS Què és el programari maliciós RAT i per què és tan perillós? ToxicEye és un tipus de programari maliciós anomenat a troià d'accés remot (RAT) . Les RAT poden donar a un atacant el control d'una màquina infectada de forma remota, el que significa que poden:

  • robar dades de l'ordinador amfitrió.
  • esborrar o transferir fitxers.
  • mata els processos que s'executen a l'ordinador infectat.
  • segrestar el micròfon i la càmera de l'ordinador per gravar àudio i vídeo sense el consentiment o el coneixement de l'usuari.
  • xifra fitxers per extorsionar un rescat als usuaris.

El ToxicEye RAT es difon mitjançant un esquema de pesca on un objectiu s'envia un correu electrònic amb un fitxer EXE incrustat. Si l'usuari objectiu obre el fitxer, el programa instal·la el programari maliciós al seu dispositiu.

Els RAT són similars als programes d'accés remot que, per exemple, algú del suport tècnic podria utilitzar per prendre el comandament del vostre ordinador i solucionar un problema. Però aquests programes s'introdueixen sense permís. Poden imitar o amagar-se amb fitxers legítims, sovint disfressats com a document o incrustats en un fitxer més gran com un videojoc.



Com els atacants utilitzen Telegram per controlar el programari maliciós

Ja el 2017, els atacants utilitzaven Telegram per controlar programari maliciós des de la distància. Un exemple notable d'això és el Programa Masad Stealer que va buidar les carteres criptogràfiques de les víctimes aquell any.

Anunci

L'investigador de Check Point, Omer Hofman, diu que la companyia ha trobat 130 atacs ToxicEye utilitzant aquest mètode de febrer a abril de 2021, i hi ha algunes coses que fan que Telegram sigui útil per als mals actors que difonen programari maliciós.

D'una banda, Telegram no està bloquejat pel programari de tallafoc. Tampoc està bloquejat per les eines de gestió de la xarxa. És una aplicació fàcil d'utilitzar que moltes persones reconeixen com a legítima i, per tant, baixen la guàrdia.

Com registrar-se a Signal o Telegram de manera anònima RELACIONATS Com registrar-se a Signal o Telegram de manera anònima Per registrar-se a Telegram només cal un número de mòbil, de manera que els atacants poden romandre anònim . També els permet atacar dispositius des del seu dispositiu mòbil, el que significa que poden llançar un ciberatac des de gairebé qualsevol lloc. L'anonimat fa que atribuir els atacs a algú —i aturar-los— sigui extremadament difícil.

La cadena d'infecció

Així és com funciona la cadena d'infecció ToxicEye:

  1. L'atacant primer crea un compte de Telegram i després a bot de Telegram, que pot dur a terme accions de forma remota a través de l'aplicació.
  2. Aquest testimoni de bot s'insereix al codi font maliciós.
  3. Aquest codi maliciós s'envia com a correu brossa, que sovint es disfressa d'alguna cosa legítima que l'usuari pot fer clic.
  4. El fitxer adjunt s'obre, s'instal·la a l'ordinador amfitrió i envia informació al centre de comandaments de l'atacant mitjançant el bot de Telegram.

Com que aquest RAT s'envia per correu brossa, ni tan sols cal que siguis usuari de Telegram per infectar-te.

Mantenir-se segur

Si creieu que potser heu descarregat ToxicEye, Check Point aconsella als usuaris que cerquin el fitxer següent al vostre PC: C:UsuarisToxicEye at.exe

Si el trobeu en un ordinador de treball, esborreu el fitxer del vostre sistema i poseu-vos en contacte amb el vostre servei d'ajuda immediatament. Si es troba en un dispositiu personal, esborreu el fitxer i executeu una exploració de programari antivirus immediatament.

Anunci

En el moment d'escriure aquest escrit, a finals d'abril de 2021, aquests atacs només s'han descobert en ordinadors Windows. Si encara no ho tens un bon programa antivirus instal·lat, ara és el moment d'aconseguir-lo.

També s'apliquen altres consells provats i veritables per a una bona higiene digital, com ara:

  • No obriu fitxers adjunts de correu electrònic que semblin sospitosos i/o provinguin de remitents desconeguts.
  • Aneu amb compte amb els fitxers adjunts que contenen noms d'usuari. Els correus electrònics maliciosos sovint inclouran el vostre nom d'usuari a l'assumpte o el nom d'un fitxer adjunt.
  • Si el correu electrònic intenta semblar urgent, amenaçador o autoritzat i us pressiona perquè feu clic a un enllaç/adjunt o proporcioneu informació sensible, és probable que sigui maliciós.
  • Utilitzeu programari anti-phishing si podeu.

El codi Masad Stealer es va posar a disposició a Github després dels atacs del 2017. Check Point diu que això ha portat al desenvolupament d'altres programes maliciosos, inclòs ToxicEye:

Des que Masad va estar disponible als fòrums de pirateria informàtica, desenes de nous tipus de programari maliciós que utilitzen Telegram per a [comandes i controls] i exploten les funcions de Telegram per a activitats malicioses, s'han trobat com a armes 'disponibles' als dipòsits d'eines de pirateria a GitHub.

Les empreses que utilitzen el programari farien bé que es plantegin canviar a una altra cosa o bloquejar-la a les seves xarxes fins que Telegram implementi una solució per bloquejar aquest canal de distribució.

Mentrestant, els usuaris individuals haurien de mantenir els ulls ben oberts, ser conscients dels riscos i comprovar els seus sistemes regularment per eliminar les amenaces, i potser considerar canviar a Signal.

LLEGIR A SEGUENT Foto de perfil de John Bogna Joan Bogna
John és un escriptor i fotògraf independent amb seu a Houston, Texas. Els seus deu anys de formació abasten temes des de la tecnologia fins a la cultura i inclou treballs per al Seattle Times, Houston Press, Medium's OneZero, WebMD i MailChimp. Abans de traslladar-se a The Bayou City, John va obtenir un B.A. en Periodisme per la CSU Long Beach.
Llegeix la biografia completa

Articles D'Interès