Hackeři používají k malwarovým útokům komunikační aplikaci Telegram

  • Systém umožňuje hackerům odesílat škodlivé příkazy prostřednictvím komunikační aplikace Telegram, a to dokonce i když není nainstalovaná nebo používaná
  • Hackeři na začátku útoku vytvoří účet na Telegramu a speciálního bota
  • Malware se poté šíří prostřednictvím spamových kampaní jako příloha e-mailu.
  • Telegram je jednou z 10 nejstahovanějších aplikací na světě a překonal hranice 500 milionů aktivních uživatelů

PRAHA – 3. května 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, varuje před hackerskými útoky, které využívají populární komunikační aplikaci Telegram. Telegram patří mezi 10 nejstahovanějších aplikací na světě a má více než 500 milionů aktivních uživatelů. Hackeři ovšem aplikaci stále častěji zneužívají k útokům na organizace a jako řídící systém pro vzdálenou distribuci malwaru.

Check Point v uplynulých 3 měsících detekoval více než 130 kybernetických útoků, při nichž byl použit trojan pro vzdálený přístup (RAT) nazvaný „ToxicEye“. RAT je typ malwaru, který útočníkům umožňuje plnou vzdálenou kontrolu nad infikovaným systémem. ToxicEye řídí útočníci právě přes Telegram. Hrozba se šíří prostřednictvím phishingových e-mailů se škodlivým .exe souborem. Jakmile uživatel otevře přílohu, do počítače se nainstaluje ToxicEye a začne škodit, aniž by o tom uživatel věděl.

Systém umožňuje hackerům odesílat škodlivé příkazy, dokonce i když Telegram na zařízení není nainstalován nebo používán. Všechny nedávné útoky vystavovaly oběti podobným rizikům:

  • Krádeže dat, informací o počítači, historie prohlížeče a cookies
  • Mazání a přenos souborů nebo ukončení procesů v počítači a kontrola nad správcem úloh 
  • Instalace keyloggerů, nahrávání zvuku a videí z okolí oběti pomocí mikrofonu a kamery počítače nebo zneužití obsahu schránky
  • Šifrování a dešifrování souborů a šíření ransomwaru

Check Point popsal, jak takový útok probíhá: 

  1. Útočník nejprve vytvoří účet na Telegramu a speciálního bota, tedy vzdáleně ovládaný účet, se kterým mohou uživatelé komunikovat.
  2. Token bota je připojen k nějakému malwaru.
  3. Malware se šíří prostřednictvím spamových kampaní jako příloha e-mailu. Check Point objevil například škodlivý soubor „paypal checker by saint.exe“
  4. Po otevření se škodlivá příloha připojí k Telegramu. Na jakoukoli takto infikovanou oběť lze zaútočit prostřednictvím telegramového bota, který prostřednictvím Telegramu připojí zařízení uživatele k serveru útočníka.
  5. Útočníci následně mohou naplno spustit své škodlivé aktivity.

Infekční řetězec

Proč hackeři využívají právě Telegram?

Výzkumný tým Check Point Research upozorňuje, že nárůst telegramového malwaru souvisí s rostoucí oblibou této komunikační platformy. Mezi hackerskými nástroji na GitHubu byly objeveny desítky nových telegramových škodlivých kódů. Kyberzločinci považují Telegram za nedílnou součást svých útoků, protože nabízí mnoho výhod:

  • Dostupnost. Telegram je populární, snadno použitelná a stabilní služba, která není blokována podnikovými antivirovými řešeními, ani nástroji pro správu sítí.
  • Anonymita. Útočníci mohou zůstat v anonymitě, protože proces registrace vyžaduje pouze mobilní číslo.
  • Jednoduchost. Komunikační funkce Telegramu umožňují útočníkům krást data z počítačů obětí nebo přenášet škodlivé soubory na infikovaná zařízení.
  • Mobilita. Telegram také umožňuje útočníkům používat mobilní zařízení pro přístupu k infikovaným počítačům téměř odkudkoli na celém světě.

„Sledujeme agresivní trend, kdy autoři malwaru používají platformu Telegram jako řídící systém pro distribuci malwaru do organizací. Systém umožňuje malwaru přijímat příkazy na dálku pomocí služby Telegram, i když Telegram není v zařízení nainstalován nebo používán. Malware, který hackeři použili, lze snadno najít například na GitHubu. Útočníci využívají situaci, kdy je Telegram používán a povolen téměř ve všech organizacích a mohou tak při kyberútocích obejít bezpečnostní mechanismy,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point. „Varujeme organizace a uživatele Telegramu, aby si dávali pozor na škodlivé e-maily a byli opatrní, zejména pokud předmět e-mailu obsahuje uživatelské jméno nebo je obsah zprávy psán kostrbatě. Očekáváme, že hackeři budou dále vylepšovat své techniky, jak zneužít Telegram k útokům.“

Bezpečnostní tipy:

  1. Vyhledejte soubor C:\Users\ToxicEye\rat.exe – Pokud tento soubor ve vašem počítači najdete, pak okamžitě kontaktujte helpdesk a soubor ze systému vymažte.
  2. Sledujte, jestli neprobíhá z vašeho počítače nějaká komunikace s telegramovým serverem – Pokud takový provoz detekujete a Telegram nemáte nainstalovaný jako podnikové řešení, je to signál, že něco nemusí být v pořádku.
  3. Věnujte pozornost přílohám a předmětu – Škodlivé zprávy mají často v předmětu e-mailu nebo v názvu přiloženého souboru uživatelské jméno. Většinou je to varovné znamení. Zprávy smažte a nikdy neotvírejte přílohu, ani neodpovídejte odesílateli.
  4. Všímejte si detailů – Sociální inženýrství zneužívá lidskou přirozenost. Lidé udělají často chybu, když spěchají nebo když jsou pod tlakem. Phishingové útoky se tak snaží přesvědčit oběti, aby ignorovaly varovná znamení a klikly na odkaz nebo otevřely přílohu.
  5. Používejte automatizované anti-phishingové řešení – Minimalizujte riziko phishingových útoků pomocí anti-phishingového řešení s umělou inteligencí, které identifikuje a zablokuje škodlivý obsah napříč komunikačními službami (e-mail, aplikace atd.) a platformami (počítače, mobilní zařízení atd.). Komplexní přístup je zásadní, protože zaměstnanci mohou být při používání mobilních zařízení zranitelnější.

Více informací najdete v analýze kyberbezpečnostní společnosti Check Point:

https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.