כיצד תוכנת זדונית RAT משתמשת בטלגרם כדי להימנע מזיהוי

דמות צללית על מחשב נייד מאחורי סמארטפון עם לוגו של טלגרם.

DANIEL CONSTANTE / Shutterstock.com



מִברָק היא אפליקציית צ'אט נוחה. אפילו יוצרי תוכנות זדוניות חושבים כך! ToxicEye היא תוכנית תוכנה זדונית RAT שעוברת על הרשת של טלגרם, ומתקשרת עם יוצריה באמצעות שירות הצ'אט הפופולרי.

תוכנה זדונית שמדברת בטלגרם

אות לעומת טלגרם: מהי אפליקציית הצ קָשׁוּר אות לעומת טלגרם: מהי אפליקציית הצ'אט הטובה ביותר? בתחילת 2021, עשרות משתמשים עזב את וואטסאפ עבור אפליקציות העברת הודעות המבטיחות אבטחת מידע טובה יותר לאחר הכרזה של החברה שהיא תשתף מטא נתונים של משתמשים עם פייסבוק כברירת מחדל. הרבה מהאנשים האלה הלכו לאפליקציות מתחרות Telegram ו-Signal.





טלגרם הייתה האפליקציה שהורדת ביותר, עם מעל 63 מיליון התקנות בינואר 2021, לפי סנסור טאואר. צ'אטים בטלגרם אינם מוצפנים מקצה לקצה כמו צ'אטים עם אות , ועכשיו, לטלגרם יש בעיה נוספת: תוכנה זדונית.

חברת התוכנה צ'ק פוינט התגלה לאחרונה ששחקנים רעים משתמשים בטלגרם כערוץ תקשורת לתוכנית תוכנה זדונית בשם ToxicEye. מסתבר שחלק מהתכונות של טלגרם יכולות לשמש תוקפים כדי לתקשר עם התוכנה הזדונית שלהם בקלות רבה יותר מאשר באמצעות כלים מבוססי אינטרנט. כעת, הם יכולים להתעסק עם מחשבים נגועים באמצעות צ'אטבוט נוח של טלגרם.



מה זה ToxicEye ואיך זה עובד?

מהי תוכנת זדונית של RAT ומדוע היא כל כך מסוכנת? קָשׁוּר מהי תוכנת זדונית של RAT ומדוע היא כל כך מסוכנת? ToxicEye הוא סוג של תוכנה זדונית הנקראת a טרויאני גישה מרחוק (RAT) . RATs יכולים לתת לתוקף שליטה על מכונה נגועה מרחוק, כלומר הם יכולים:

  • לגנוב נתונים מהמחשב המארח.
  • למחוק או להעביר קבצים.
  • להרוג תהליכים הפועלים במחשב הנגוע.
  • לחטוף את המיקרופון והמצלמה של המחשב כדי להקליט אודיו ווידאו ללא הסכמת המשתמש או ידיעתו.
  • להצפין קבצים כדי לסחוט כופר מהמשתמשים.

ה-ToxicEye RAT מופץ באמצעות סכימת פישינג שבה יעד נשלח אימייל עם קובץ EXE מוטבע. אם המשתמש הממוקד פותח את הקובץ, התוכנית מתקינה את התוכנה הזדונית במכשיר שלו.

RATs דומים לתוכניות הגישה מרחוק שבהן, למשל, מישהו בתמיכה טכנית עשוי להשתמש כדי לקחת פיקוד על המחשב שלך ולתקן בעיה. אבל התוכניות האלה מתגנבות ללא רשות. הם יכולים לחקות או להיות מוסתרים עם קבצים לגיטימיים, לעתים קרובות מחופשים למסמך או מוטמעים בקובץ גדול יותר כמו משחק וידאו.



כיצד תוקפים משתמשים בטלגרם כדי לשלוט בתוכנה זדונית

כבר בשנת 2017, תוקפים השתמשו בטלגרם כדי לשלוט בתוכנות זדוניות מרחוק. אחת הדוגמאות הבולטות לכך היא תוכנית גנב מסד שרוקנה את ארנקי הקריפטו של הקורבנות באותה שנה.

פרסומת

חוקר צ'ק פוינט, עומר הופמן, אומר שהחברה מצאה 130 התקפות ToxicEye בשיטה זו מפברואר עד אפריל 2021, ויש כמה דברים שהופכים את Telegram לשימושית לשחקנים רעים שמפיצים תוכנות זדוניות.

ראשית, טלגרם לא נחסמת על ידי תוכנת חומת אש. זה גם לא נחסם על ידי כלי ניהול רשת. זוהי אפליקציה קלה לשימוש שאנשים רבים מזהים כלגיטימית, ולפיכך, נותנים לשמור עליהם.

כיצד להירשם לאיגנל או לטלגרם באופן אנונימי קָשׁוּר כיצד להירשם לאיגנל או לטלגרם באופן אנונימי הרשמה לטלגרם דורשת רק מספר נייד, כך שתוקפים יכולים להישאר בעילום שם . זה גם מאפשר להם לתקוף מכשירים מהמכשיר הנייד שלהם, כלומר הם יכולים להפעיל התקפת סייבר כמעט מכל מקום. אנונימיות הופכת את ייחוס ההתקפות למישהו - והפסקתן - לקשה ביותר.

שרשרת הזיהום

כך פועלת שרשרת הזיהום ToxicEye:

  1. התוקף יוצר תחילה חשבון טלגרם ולאחר מכן א בוט טלגרם, שיכול לבצע פעולות מרחוק דרך האפליקציה.
  2. אסימון הבוט הזה מוכנס לקוד מקור זדוני.
  3. הקוד הזדוני הזה נשלח כדואר זבל, שלעתים קרובות מוסווה כמשהו לגיטימי שהמשתמש עלול ללחוץ עליו.
  4. הקובץ המצורף נפתח, מותקן במחשב המארח ושולח מידע חזרה למרכז הפיקוד של התוקף באמצעות הבוט של טלגרם.

מכיוון שה-RAT הזה נשלח באמצעות דואר זבל, אתה אפילו לא צריך להיות משתמש בטלגרם כדי להידבק.

להישאר בטוח

אם אתה חושב שאולי הורדת את ToxicEye, Check Point ממליצה למשתמשים לבדוק את הקובץ הבא במחשב שלך: C:UsersToxicEye at.exe

אם אתה מוצא אותו במחשב עבודה, מחק את הקובץ מהמערכת שלך ופנה מיד לדלפק העזרה שלך. אם זה במכשיר אישי, מחק את הקובץ והפעל מיד סריקה של תוכנת אנטי-וירוס.

פרסומת

בזמן כתיבת שורות אלה, נכון לסוף אפריל 2021, התקפות אלו התגלו רק במחשבי Windows. אם עדיין אין לך תוכנת אנטי וירוס טובה מותקן, זה הזמן לקבל את זה.

עצות בדוקות אחרות להיגיינה דיגיטלית טובה חלות גם, כמו:

  • אל תפתח קבצים מצורפים למייל שנראים חשודים ו/או משולחים לא מוכרים.
  • היזהר מקבצים מצורפים המכילים שמות משתמש. הודעות דוא'ל זדוניות יכללו לרוב את שם המשתמש שלך בשורת הנושא או שם מצורף.
  • אם האימייל מנסה להישמע דחוף, מאיים או סמכותי ולוחץ עליך ללחוץ על קישור/קובץ מצורף או לתת מידע רגיש, כנראה שזה זדוני.
  • השתמש בתוכנת אנטי-פישינג אם אתה יכול.

הקוד של Masad Stealer הפך לזמין ב-Github בעקבות התקפות 2017. צ'ק פוינט אומרת שזה הוביל לפיתוח של שורה של תוכניות זדוניות אחרות, כולל ToxicEye:

מאז שמסד הפכה זמינה בפורומי פריצה, עשרות סוגים חדשים של תוכנות זדוניות המשתמשות בטלגרם עבור [פקודה ושליטה] ומנצלות את התכונות של טלגרם לפעילות זדונית, נמצאו ככלי נשק 'מדף' במאגרי כלי פריצה ב- GitHub.

טוב יעשו חברות שמשתמשות בתוכנה אם ישקלו לעבור למשהו אחר או לחסום אותו ברשתות שלהן עד שטלגרם תטמיע פתרון לחסימת ערוץ ההפצה הזה.

בינתיים, משתמשים בודדים צריכים לפקוח עיניים, להיות מודעים לסיכונים ולבדוק את המערכות שלהם באופן קבוע כדי לשרש איומים - ואולי לשקול לעבור ל-Signal במקום זאת.

קרא את הבא תמונת פרופיל עבור ג ג'ון בוניה
ג'ון הוא סופר וצלם עצמאי המבוסס ביוסטון, טקסס. הרקע בן עשר השנים שלו משתרע על פני נושאים מטכנולוגיה לתרבות וכולל עבודה עבור ה'סיאטל טיימס', יוסטון פרס, OneZero של Medium, WebMD ו-MailChimp. לפני שעבר לעיר באיו, ג'ון קיבל תואר B.A. בעיתונאות מ-CSU לונג ביץ'.
קרא את הביוגרפיה המלאה

מאמרים מעניינים