Wie RAT-Malware Telegramme verwendet, um eine Erkennung zu vermeiden

Eine schattenhafte Gestalt auf einem Laptop hinter einem Smartphone mit Telegram-Logo.

Telegram ist eine praktische Chat-App. Sogar Malware-Ersteller denken so! ToxicEye ist ein RAT-Malware-Programm, das sich Huckepack im Netzwerk von Telegram befindet und mit seinen Schöpfern über den beliebten Chat-Dienst kommuniziert.

Malware, die im Telegramm chattet

Signal vs. Telegram: Welches ist die beste Chat-App?

VERBUNDENSignal vs. Telegram: Welches ist die beste Chat-App?

Anfang 2021 verließen zahlreiche Benutzer WhatsApp für Messaging-Apps, die eine bessere Datensicherheit versprechen, nachdem das Unternehmen angekündigt hatte, Benutzer-Metadaten standardmäßig mit Facebook zu teilen. Viele dieser Leute gingen zu konkurrierenden Apps Telegram und Signal.

Telegram war die am häufigsten heruntergeladene App mit über 63 Millionen Installationen im Januar 2021, so Sensor Tower. Telegram-Chats sind nicht Ende-zu-Ende-verschlüsselt wie Signal-Chats, und jetzt hat Telegram ein weiteres Problem: Malware.

Softwareunternehmen Check Point kürzlich entdeckt dass bösartige Akteure Telegram als Kommunikationskanal für ein Malware-Programm namens ToxicEye verwenden. Es stellt sich heraus, dass einige der Funktionen von Telegram von Angreifern verwendet werden können, um einfacher mit ihrer Malware zu kommunizieren als über webbasierte Tools. Jetzt können sie sich über einen praktischen Telegram-Chatbot mit infizierten Computern anlegen.

Was ist ToxicEye und wie funktioniert es?

Was ist RAT-Malware und warum ist sie so gefährlich?

VERBUNDENWas ist RAT-Malware und warum ist sie so gefährlich?

ToxicEye ist eine Art von Malware, die als Remote-Access-Trojaner (RAT) bezeichnet wird. RATs können einem Angreifer aus der Ferne die Kontrolle über einen infizierten Computer geben, was bedeutet, dass sie:

  • Daten vom Host-Computer stehlen.
  • Dateien löschen oder übertragen.
  • beenden Sie Prozesse, die auf dem infizierten Computer ausgeführt werden.
  • das Mikrofon und die Kamera des Computers entführen, um Audio und Video ohne Zustimmung oder Wissen des Benutzers aufzunehmen.
  • Verschlüsseln Sie Dateien, um ein Lösegeld von Benutzern zu erpressen.

Die ToxicEye RAT wird über ein Phishing-Schema verbreitet, bei dem einem Ziel eine E-Mail mit einer eingebetteten EXE-Datei gesendet wird. Wenn der Zielbenutzer die Datei öffnet, installiert das Programm die Malware auf seinem Gerät.

RATs ähneln den RAS-Programmen, die beispielsweise jemand vom technischen Support verwenden könnte, um die Kontrolle über Ihren Computer zu übernehmen und ein Problem zu beheben. Aber diese Programme schleichen sich ohne Erlaubnis ein. Sie können legitime Dateien nachahmen oder versteckt werden, oft als Dokument getarnt oder in eine größere Datei wie ein Videospiel eingebettet werden.

Wie Angreifer Telegramme verwenden, um Malware zu kontrollieren

Bereits 2017 nutzen Angreifer Telegram, um Schadsoftware aus der Ferne zu kontrollieren. Ein bemerkenswertes Beispiel dafür ist der Masad Stealer-Programm die in diesem Jahr die Krypto-Wallets der Opfer geleert haben.

Verwandt :  3 Möglichkeiten, jede Website in eine Android-App zu verwandeln

Check Point-Forscher Omer Hofman sagt, dass das Unternehmen von Februar bis April 2021 130 ToxicEye-Angriffe mit dieser Methode gefunden hat, und es gibt einige Dinge, die Telegram für bösartige Akteure nützlich machen, die Malware verbreiten.

Zum einen wird Telegram nicht von Firewall-Software blockiert. Es wird auch nicht von Netzwerkverwaltungstools blockiert. Es ist eine einfach zu bedienende App, die viele Leute als legitim anerkennen und daher ihre Wachsamkeit im Stich lassen.

So melden Sie sich anonym für Signal oder Telegramm an

VERBUNDENSo melden Sie sich anonym für Signal oder Telegramm an

Die Registrierung für Telegram erfordert lediglich eine Handynummer, sodass Angreifer anonym bleiben können. Es ermöglicht ihnen auch, Geräte von ihrem mobilen Gerät aus anzugreifen, was bedeutet, dass sie von fast überall einen Cyberangriff starten können. Anonymität macht es extrem schwierig, die Angriffe jemandem zuzuordnen und sie zu stoppen.

Die Infektionskette

So funktioniert die ToxicEye-Infektionskette:

  1. Der Angreifer erstellt zuerst ein Telegram-Konto und dann a Telegramm „bot“ die über die App Aktionen aus der Ferne ausführen können.
  2. Dieses Bot-Token wird in bösartigen Quellcode eingefügt.
  3. Dieser bösartige Code wird als E-Mail-Spam versendet, der oft als legitimer Code getarnt wird, auf den der Benutzer klicken könnte.
  4. Der Anhang wird geöffnet, auf dem Host-Computer installiert und sendet Informationen über den Telegram-Bot an die Kommandozentrale des Angreifers zurück.

Da diese RAT per Spam-E-Mail versendet wird, müssen Sie nicht einmal ein Telegram-Benutzer sein, um sich infizieren zu lassen.

Sicher bleiben

Wenn Sie denken, dass Sie ToxicEye heruntergeladen haben, empfiehlt Check Point den Benutzern, auf Ihrem PC nach der folgenden Datei zu suchen: C:BenutzerToxicEyerat.exe

Wenn Sie sie auf einem Arbeitscomputer finden, löschen Sie die Datei von Ihrem System und wenden Sie sich sofort an Ihren Helpdesk. Wenn es sich auf einem persönlichen Gerät befindet, löschen Sie die Datei und führen Sie sofort einen Antiviren-Software-Scan durch.

Zum Zeitpunkt des Schreibens, Ende April 2021, wurden diese Angriffe nur auf Windows-PCs entdeckt. Wenn Sie noch kein gutes Antivirenprogramm installiert haben, ist es jetzt an der Zeit, es zu besorgen.

Auch andere bewährte Ratschläge für eine gute „digitale Hygiene“ gelten, wie zum Beispiel:

  • Öffnen Sie keine E-Mail-Anhänge, die verdächtig aussehen und/oder von unbekannten Absendern stammen.
  • Seien Sie vorsichtig bei Anhängen, die Benutzernamen enthalten. Schädliche E-Mails enthalten oft Ihren Benutzernamen in der Betreffzeile oder einen Anhangsnamen.
  • Wenn die E-Mail versucht, dringend, bedrohlich oder autoritär zu klingen und Sie dazu drängt, auf einen Link/Anhang zu klicken oder vertrauliche Informationen anzugeben, ist sie wahrscheinlich bösartig.
  • Verwenden Sie nach Möglichkeit Anti-Phishing-Software.
Verwandt :  So erhalten Sie ein fehlendes OneDrive-Symbol in der Windows 10-Taskleiste zurück

Der Masad Stealer-Code wurde nach den Angriffen von 2017 auf Github verfügbar gemacht. Check Point sagt, dass dies zur Entwicklung einer Vielzahl anderer bösartiger Programme geführt hat, darunter ToxicEye:

„Seit Masad in Hacking-Foren verfügbar wurde, haben Dutzende neuer Arten von Malware, die Telegram für [command and control] und die Funktionen von Telegram für böswillige Aktivitäten ausnutzen, wurden in Hacking-Tool-Repositories in GitHub als Standardwaffen gefunden.“

Unternehmen, die die Software verwenden, sollten in Erwägung ziehen, zu etwas anderem zu wechseln oder es in ihren Netzwerken zu blockieren, bis Telegram eine Lösung implementiert, um diesen Vertriebskanal zu blockieren.

In der Zwischenzeit sollten einzelne Benutzer die Augen offen halten, sich der Risiken bewusst sein und ihre Systeme regelmäßig überprüfen, um Bedrohungen auszumerzen – und vielleicht stattdessen einen Wechsel zu Signal in Betracht ziehen.