Telegram-Plattform wird für “ToxicEye”-Malware-Kampagnen missbraucht

Cyber Security News

Selbst wenn die App nicht installiert oder in Gebrauch ist, können Bedrohungsakteure sie nutzen, um Malware über E-Mail-Kampagnen zu verbreiten und die Rechner der Opfer zu übernehmen, wie neue Untersuchungen zeigen.

Hacker nutzen die beliebte Telegram-Messaging-App aus, indem sie deren Code in einen Remote Access Trojaner (RAT) namens ToxicEye einbetten, wie neue Forschungsergebnisse zeigen. Der Computer eines Opfers, der mit der ToxicEye-Malware infiziert ist, wird über ein von Hackern betriebenes Telegram-Messaging-Konto gesteuert.

Die ToxicEye-Malware kann Dateisysteme übernehmen, Ransomware installieren und Daten von den PCs der Opfer auslesen, so die Forscher von Check Point Software Technologies.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten eines schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

Check Point gab an, in den letzten drei Monaten mehr als 130 Cyberangriffe verfolgt zu haben, die ToxicEye nutzten, das von Bedrohungsakteuren über Telegram gesteuert wurde. Angreifer nutzen den Messaging-Dienst, um mit ihrem eigenen Server zu kommunizieren und Daten zu exfiltrieren, so ein am Donnerstag online veröffentlichter Bericht.

Die Hacker haben wahrscheinlich Telegram, das weltweit mehr als 500 Millionen aktive Nutzer hat, als Verbreitungsplattform ins Visier genommen, weil es so weit verbreitet und beliebt ist, sagte Idan Sharabi, Leiter der Forschungs- und Entwicklungsabteilung bei Check Point.

“Wir glauben, dass Angreifer die Tatsache ausnutzen, dass Telegram in fast allen Organisationen verwendet wird und erlaubt ist, und dieses System nutzen, um Cyberangriffe durchzuführen, die Sicherheitseinschränkungen umgehen können”, sagte er in einer per E-Mail gesendeten Erklärung.

Forscher weisen darauf hin, dass Telegram – das als sicherer und privater Messaging-Dienst bekannt ist – während der Pandemie und insbesondere in den letzten Monaten noch beliebter geworden ist. Das liegt an den neuen Datenschutz- und Datenverwaltungsrichtlinien von WhatsApp, die bei den Nutzern Besorgnis hervorrufen und sie millionenfach zu alternativen Messaging-Plattformen wie Telegram treiben.

Diese wachsende Telegram-Nutzerbasis hat zu einem entsprechenden Anstieg von Angreifern geführt, die die Telegram-Plattform mit einer Reihe von gängiger Malware bewerfen, berichten Forscher. Laut Check Point wurden Dutzende von “Standard”-Malware-Samples gesichtet, die auf Telegram-Nutzer abzielen.

Den Forschern zufolge ist Telegram ein idealer Weg, um solche Aktivitäten zu verschleiern, da es nicht von Antiviren-Schutzmaßnahmen blockiert wird und es Angreifern erlaubt, anonym zu bleiben, da sie nur eine Handynummer benötigen, um sich anzumelden, so die Forscher. Die App ermöglicht es Angreifern außerdem, aufgrund ihrer Kommunikationsinfrastruktur leicht Daten von den PCs der Opfer zu exfiltrieren oder neue bösartige Dateien auf infizierte Rechner zu übertragen – und das von jedem Ort der Welt aus, so die Forscher.

Infektionskette

Die Telegram-RAT-Angriffe beginnen damit, dass die Bedrohungsakteure einen Telegram-Account und einen speziellen Telegram-Bot oder einen Remote-Account erstellen, der es ihnen ermöglicht, mit anderen Nutzern auf verschiedene Weise zu interagieren – z. B. um zu chatten, Personen zu Gruppen hinzuzufügen oder Anfragen direkt über das Eingabefeld zu senden, indem sie den Telegram-Benutzernamen des Bots und eine Anfrage eingeben.

Angreifer bündeln dann das Bot-Token mit dem RAT oder einer anderen ausgewählten Malware und verbreiten die Malware über E-Mail-basierte Spam-Kampagnen als E-Mail-Anhang. Die Forscher beobachteten beispielsweise Angreifer, die Malware über eine Datei namens “paypal checker by saint.exe” verbreiteten, sagten sie.

Sobald ein Opfer den bösartigen Anhang öffnet, verbindet es sich mit Telegram und macht das Gerät anfällig für einen Fernangriff über den Telegram-Bot, der den Messaging-Dienst nutzt, um das Gerät des Opfers wieder mit dem Command-and-Control-Server des Angreifers zu verbinden, so der Bericht. Nach der Infektion erhalten die Angreifer die volle Kontrolle über das Gerät des Opfers und können eine Reihe von schändlichen Aktivitäten durchführen, so die Forscher.

Bei den von Check Point beobachteten Angriffen wurde das ToxicEye RAT verwendet, um Passwörter, Computerinformationen, Browserverläufe und Cookies von den Geräten der Opfer zu finden und zu stehlen; Dateien zu löschen und zu übertragen oder PC-Prozesse zu beenden sowie den Task-Manager eines PCs zu übernehmen; einen Keylogger einzusetzen oder Audio- und Videoaufnahmen der Umgebung des Opfers zu machen sowie Inhalte der Zwischenablage zu stehlen; und Ransomware zu verwenden, um die Dateien der Opfer zu ver- und entschlüsseln.

Identifizierung und Schadensbegrenzung

Laut Check Point ist ein Hinweis auf eine Infektion auf PCs das Vorhandensein einer Datei namens “rat.exe”, die sich im Verzeichnis C:UsersToxicEyerat[.]exe.

Unternehmen sollten auch den Datenverkehr überwachen, der von PCs zu Telegram-Konten erzeugt wird, wenn die Telegram-App nicht auf den betreffenden Systemen installiert ist, so die Forscher.

Die Forscher raten zu erhöhter Wachsamkeit, wenn es um die Überprüfung von E-Mails geht. Empfänger sollten immer die Empfängerzeile einer E-Mail überprüfen, die verdächtig erscheint, bevor sie sich mit ihr beschäftigen, so Check Point. Wenn kein Empfänger genannt wird oder der Empfänger nicht aufgelistet oder nicht bekannt ist, deutet dies wahrscheinlich darauf hin, dass es sich bei der E-Mail um eine Phishing- oder bösartige Nachricht handelt.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com