Фирмата за киберсигурност Check Point обяви тревожна информация за хакерски атаки, преминаващи през платформата Telegram, дори когато тя не е инсталирана. Целта е разпространение на зловреден софтуер в организации, който може да бъде използван за достигането до чувствителна информация.

“Дори когато Telegram не е инсталиран или не се използва, системата позволява на хакерите да изпращат злонамерени команди и операции дистанционно чрез приложението за съобщения,” казват изследователи от фирмата за киберсигурност, които са установили не по-малко от 130 атаки през последните три месеца които се възползват от нов многофункционален троянец за отдалечен достъп (RAT – Remote Access Trojan), наречен „ToxicEye“.

Не за първи път Telegram се използва за зловредни действия. През септември 2019 г. бе установено, че крадец на информация извлича данни за криптовалутни портфейли от заразени компютри, използвайки Telegram като канал за ексфилтрация.

Стратегията се отплаща по редица начини. Като начало, Telegram не само не е блокиран от корпоративни антивирусни системи, но и приложението позволява на хакерите да останат анонимни, тъй като процесът на регистрация изисква само мобилен номер, като по този начин им дава достъп до заразени устройства от почти всяко място по света.

Настоящата кампания, забелязана от Check Point, не е по-различна. Разпространен чрез фишинг имейли, вградени със злонамерен изпълним файл на Windows, ToxicEye използва Telegram за комуникация със command-and-control сървъра (C2) и качва на данни към него. Злонамереният софтуер също така предлага редица експлойти, които му позволяват да открадне данни, да прехвърля и изтрива файлове, да прекратява процеси, да деплойва кейлогър, да достига до микрофона и камерата на компютъра, за да записва аудио и видео и дори да криптира файлове с цел последващ откуп.

По-конкретно атаката започва със създаването на бот на Telegram от нападателя, който след това се вгражда в конфигурационния файл на RAT, преди да се компилира в изпълним файл. След това .EXE файлът се инжектира в документ на Word (“solution.doc”), който при отваряне изтегля и стартира Telegram RAT (“C:\ Users\ToxicEye\rat.exe”).

„Открихме нарастваща тенденция, при която авторите на зловреден софтуер използват платформата Telegram като готова command-and-control система за разпространение на зловреден софтуер в организации“, каза мениджърът на Check Point R&D Group Идан Шараби. „Вярваме, че нападателите се възползват от факта, че Telegram се използва и се разрешава в почти всички организации, прилагайки този ход за извършване на кибер атаки, който може да заобиколи ограниченията за сигурност.“