Các hacker sử dụng Telegram Messenger để kiểm soát ToxicEye malware.



Những hacker đang ngày càng lạm dụng Telegram như một hệ “command-and-control” để phân phối phần mềm độc hại vào các tổ chức mà sau đó có thể được sử dụng để thu thập thông tin nhạy cảm từ các hệ thống bị nhắm tới.

Các nhà nghiên cứu từ công ty an ninh mạng Check Point cho biết: “Ngay cả khi Telegram không được cài đặt hoặc đang được sử dụng, hệ thống cho phép hacker gửi các lệnh và hoạt động độc hại từ xa thông qua ứng dụng nhắn tin nhanh” và đã có hơn 130 vụ tấn công xảy ra trong vòng ba tháng quá bởi remote access trojan (RAT) đa chức năng mới được gọi là “ToxicEye.”

Việc sử dụng Telegram để tạo điều kiện cho các hoạt động độc hại không phải là mới. Vào tháng 9 năm 2019, một phần mềm đánh cắp thông tin có tên là Masad Stealer đã bị phát hiện ăn cắp thông tin và dữ liệu ví tiền điện tử từ các máy tính bị nhiễm bằng cách sử dụng Telegram như là một kênh đánh cắp dữ liệu. Sau đó vào năm ngoái, các nhóm Magecart đã áp dụng cùng một chiến thuật để gửi các chi tiết  trong thanh toán bị đánh cắp từ các trang web bị tấn công, quay trở lại cho các hacker.

Chiến lược này cũng mang lại hiệu quả trong một số cách. Đầu tiên, Telegram không chỉ bị chặn bởi các công cụ chống vi-rút doanh nghiệp, ứng dụng nhắn tin còn cho phép những hacker ẩn danh, do quá trình đăng ký chỉ yêu cầu số di động, do đó cho phép chúng truy cập vào các thiết bị bị nhiễm từ hầu như bất kỳ đâu trên thế giới.

Chiến dịch mới nhất được Check Point phát hiện cũng không khác gì. Phát tán qua các phishing emails được nhúng với tệp Windows executable độc hại, ToxicEye sử dụng Telegram để giao tiếp với command-and-control (C2) server và tải dữ liệu lên đó. Malware này cũng có nhiều cách khai thác cho phép nó ăn cắp dữ liệu, chuyển và xóa tệp, chấm dứt quy trình, triển khai keylogger, kiểm soát micrô và máy ảnh của máy tính để ghi âm thanh và video, thậm chí mã hóa tệp để đòi tiền chuộc.

Cụ thể, chuỗi tấn công bắt đầu với việc hacker tạo ra một bot Telegram, sau đó được nhúng vào tệp cấu hình của RAT, trước khi biên dịch nó thành tệp executable (ví dụ: “paypal checker by Holy.exe”). Sau đó, tệp .EXE này được đưa vào tài liệu Word giả mạo (“solution.doc”), khi mở ra, tải xuống và chạy Telegram RAT (“C: \ Users \ ToxicEye \ rat.exe”).

“Chúng tôi đã phát hiện ra một xu hướng ngày càng tăng trong đó các kẻ tạo ra malware đang sử dụng nền tảng Telegram như một hệ thống kiểm soát và ra lệnh để phân phối malware vào các tổ chức”, Giám đốc Nhóm R&D của Check Point Idan Sharabi cho biết. “Chúng tôi tin rằng các hacker đang tận dụng thực tế rằng Telegram được sử dụng và cho phép trong hầu hết các tổ chức, sử dụng hệ thống này để thực hiện các cuộc cyber-attacks, có thể vượt qua các hạn chế bảo mật.”

nguồn: thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật