Pesquisadores de segurança cibernética detectaram recentemente vários ataques que geralmente usam um vírus de acesso remoto por meio de comunicações do Telegram para roubar dados das vítimas e realizar atividades maliciosas nos dispositivos infectados.
Os agentes da ameaça estão usando o mensageiro do Telegram como um servidor C&C para espalhar malware e roubar informações confidenciais.
De acordo com o relatório da Checkpoint , os pesquisadores detectaram quase 130 ataques nos últimos três meses. E dizem que os hackers estão usando o Telegram para instalar um novo Trojan multifuncional para acesso remoto, “ToxicEye”.
No entanto, os analistas notaram que o principal motivo da atividade do hacker não é uma vulnerabilidade que está presente dentro do messenger, mas as reviravoltas de sua arquitetura.
Além disso, o usuário que é muito novo no Telegram , quem nunca o usou, também pode se tornar vítima de tais ataques.
Por que os hackers estão usando o Telegram?
Os hackers estão continuamente visando o Telegram, e os invasores têm muitos motivos em seu balde para direcionar o Telegram; aqui eles são mencionados abaixo: -
- No Telegram, os atores da ameaça podem se manter ocultos, ou podemos dizer que podem ser anônimos porque o processo de registro requer apenas um número de telefone.
- O motivo mais comum é que o Telegram é um aplicativo legítimo; pode-se facilmente usar este aplicativo.
- Um dos recursos exclusivos do Telegram é que ele tem comunicação exclusiva, por meio da qual os agentes da ameaça podem exfiltrar dados dos PCs das vítimas ou podem transferir todos os arquivos maliciosos para as máquinas infectadas.
- Com a ajuda do Telegram, os atores da ameaça podem usar seus dispositivos móveis para acessar o computador que foi infectado.
Exploits realizados por ToxicEye
Os especialistas listaram todas as explorações realizadas pelo ToxicEye na máquina infectada: -
- Roubo de dados
- Sequestrar o microfone e a câmera do PC para gravar áudio e vídeo
- Excluindo ou transferindo arquivos
- Processos de eliminação no PC
- Criptografando arquivos para resgate
Cadeia de infecção
A primeira coisa que os agentes da ameaça fazem é criar uma conta e, junto com isso, os hackers também abrem um 'bot' do Telegram, ou conta remota especial.
No entanto, com esta conta especial, os usuários podem interagir pelo chat do Telegram ou adicionando-os aos grupos do Telegram, ou simplesmente enviando solicitações diretamente do campo de entrada digitando o nome de usuário do Telegram do bot.
Os analistas também afirmaram que o bot está embutido no arquivo de configuração RAT do ToxicEye e, posteriormente, foi anexado e colocado em um arquivo executável.
Quando o hacker conclui o processo de instalação do arquivo executável, os atores da ameaça podem sequestrar o computador por meio do bot.
Funcionalidades do Telegram RAT
- Controle do sistema de arquivos
- Sequestro de E / S
- Recursos de ransomware
- Recursos de roubo de dados
Como detectar a infecção e permanecer protegido?
Existem alguns pontos pelos quais se pode detectar ou conhecer a infecção, e também se manter protegido.
- Sempre verifique o tráfego que está sendo gerado de PCs em sua organização para um Telegram C&C. Como o Telegram não é instalado como uma solução corporativa, ele dá uma indicação direta de ataques.
- Fique de olho nos anexos que contêm nomes de usuário e esteja ciente desses anexos, pois os hackers usam o nome de usuário dos usuários para enviar e-mails maliciosos.
- Sempre procure um arquivo chamado C: \ Users \ ToxicEye \ rat.exe, a existência desse arquivo significa que os hackers já o atacaram e infectaram o seu sistema.
- Observe o idioma do e-mail, pois os atacantes de phishing usam idiomas diferentes para convencer os usuários.
- No caso, se não houver nome no lugar do destinatário, significa que os invasores o atacaram.
- Implantar uma solução anti-phishing automatizada, já que esse tipo de cobertura abrangente, é bastante necessário, já que o conteúdo de phishing pode vir de qualquer meio.
Os pesquisadores de segurança pediram às organizações e aos usuários do Telegram que mantenham um breve conhecimento dos ataques de phishing mais recentes e suspeitem muito de e-mails com nome de usuário ou organização incorporados ao assunto.
