新研究发现,即使该应用程序未安装或未使用,攻击者仍然可以利用它并通过电子邮件活动传播恶意软件,然后接管目标。警告!ToxicEye恶意软件在Telegram平台上猖獗最近,安全研究专家发现网络犯罪分子正在利用流行的Telegram消息传递应用程序进行攻击。他们将在应用程序中嵌入名为ToxicEye的远程访问木马(RAT)。当目标用户感染ToxicEye后,攻击者将能够通过被攻陷的Telegram账户控制目标设备。CheckPoint的安全研究人员表示,ToxicEye恶意软件可以接管目标设备的文件系统,安装勒索软件,并从目标用户的计算机中提取数据。在过去的三个月里,他们使用ToxicEye追踪到超过130次网络攻击,攻击者都是使用Telegram实现木马控制。在上周四发布的一份研究报告中,他们详细介绍了攻击者如何使用消息服务与他们自己的服务器进行通信,并将数据提取到攻击者控制的服务器。CheckPoint研发经理IdanSharabi表示,考虑到Telegram的广泛使用和普及,攻击者很可能会利用全球拥有超过5亿活跃用户的Telegram作为他们的恶意软件分发平台。“我们认为攻击者正在使用Telegram进行网络攻击,因为该应用程序被世界各地的许多组织和用户使用,并且能够很好地绕过安全限制,”他在一封电子邮件声明中说。研究人员指出,Telegram作为一种安全的私人信息服务,在疫情期间用户数量大幅增加。考虑到WhatsApp有新的隐私和数据管理政策,数百万用户将迁移到其他消息平台,如Telegram。据研究人员称,不断增长的Telegram用户群导致攻击活动相应激增,攻击者在Telegram平台上投放了大量常见恶意软件。据CheckPoint称,他们已经发现了数十个针对Telegram用户的现成恶意软件样本。研究人员指出,Telegram是隐藏此类活动的理想方式,因为它不受防病毒保护机制的阻止,攻击者可以保持匿名,而且他们只需要一个手机号码即可注册。鉴于应用程序的通信基础设施,攻击者还可以轻松地从目标用户的计算机中过滤和提取数据,或将新的恶意文件传输到受感染的机器,并从世界任何地方远程执行它们。感染链在TelegramRAT攻击开始之前,攻击者需要创建一个Telegram帐户和一个专用的Telegram机器人或远程帐户,这将允许他们以各种方式与其他用户进行交互,包括聊天、将朋友添加到群组中,或者通过输入机器人的Telegram用户名和查询直接从输入字段发送请求。然后,攻击者将机器人令牌与RAT或其他选定的恶意软件捆绑在一起,并通过基于电子邮件的垃圾邮件活动将恶意软件作为电子邮件附件进行传播。例如,攻击者将通过名为“saint.exe的paypalchecker”的文件分发恶意软件。一旦目标用户打开恶意附件,他们将连接到Telegram,并通过Telegrambot对目标设备进行远程攻击。接下来,Telegram机器人将使用消息服务将目标设备连接回攻击者的命令和控制服务器。研究人员表示,感染后,攻击者可以完全控制目标设备并从事一系列恶意活动。在CheckPoint观察到的攻击中,ToxicEyeRAT被用来定位和窃取用户设备上的密码、计算机信息、浏览器历史记录和cookie;删除和传输文件或终止PC进程,并接管PC的任务管理器;在目标用户周围部署键盘记录器或录制音频和视频,并窃取剪贴板内容;使用勒索软件加密和解密目标用户的文件。识别和缓解程序CheckPoint的研究人员表示,如果你的电脑被感染,电脑中会有一个名为“rat.exe”的文件,路径为“C:\Users\ToxicEye\rat[.]exe”.如果目标设备上没有安装Telegram应用程序,用户还应该监控设备上的Telegram相关流量。此外,收件人在处理可疑电邮时,必须核对电邮的收件人资料。如果没有指定收件人,或者没有列出或披露收件人,则可能表明该邮件是钓鱼邮件或恶意邮件。
