“Дори когато Telegram не е инсталиран или не се използва, системата позволява на хакерите да изпращат злонамерени команди и операции дистанционно чрез приложението за съобщения,” казват изследователи от фирмата за киберсигурност, които са установили не по-малко от 130 атаки през последните три месеца които се възползват от нов многофункционален троянец за отдалечен достъп (RAT – Remote Access Trojan), наречен „ToxicEye“.

Не за първи път Telegram се използва за зловредни действия. През септември 2019 г. бе установено, че крадец на информация извлича данни за криптовалутни портфейли от заразени компютри, използвайки Telegram като канал за ексфилтрация.

Стратегията се отплаща по редица начини. Като начало, Telegram не само не е блокиран от корпоративни антивирусни системи, но и приложението позволява на хакерите да останат анонимни, тъй като процесът на регистрация изисква само мобилен номер, като по този начин им дава достъп до заразени устройства от почти всяко място по света.

Настоящата кампания, забелязана от Check Point, не е по-различна. Разпространен чрез фишинг имейли, вградени със злонамерен изпълним файл на Windows, ToxicEye използва Telegram за комуникация със command-and-control сървъра (C2) и качва на данни към него. Злонамереният софтуер също така предлага редица експлойти, които му позволяват да открадне данни, да прехвърля и изтрива файлове, да прекратява процеси, да деплойва кейлогър, да достига до микрофона и камерата на компютъра, за да записва аудио и видео и дори да криптира файлове с цел последващ откуп.

По-конкретно атаката започва със създаването на бот на Telegram от нападателя, който след това се вгражда в конфигурационния файл на RAT, преди да се компилира в изпълним файл. След това .EXE файлът се инжектира в документ на Word (“solution.doc”), който при отваряне изтегля и стартира Telegram RAT (“C:\ Users\ToxicEye\rat.exe”).

„Открихме нарастваща тенденция, при която авторите на зловреден софтуер използват платформата Telegram като готова command-and-control система за разпространение на зловреден софтуер в организации“, каза мениджърът на Check Point R&D Group Идан Шараби. „Вярваме, че нападателите се възползват от факта, че Telegram се използва и се разрешава в почти всички организации, прилагайки този ход за извършване на кибер атаки, който може да заобиколи ограниченията за сигурност.“

Вирусът позволява на атакуващите да достигат до корпоративна информация, като използва keylogging – записва натискането на клавишите и прави скрийншотове, а освен това, събира различна информация за вече инфектираната система – версия на Windows, каква антивирусна се използва и има ли включени устройства към USB порта.

Evilnum е открит от изследователите в Cybereason, като предходните му атаки са били свързани с т. нар. фишинг имейл кампании, чието съдържание е със замаскиран като PDF, LNK файл.

Жертвите на групата Evilnum са финтех компании, намиращи се предимно в САЩ и Европа, но е имало и случаи от други места по света. Една от причините за успеха на групировката, споделят специалистите е, че използваните тактики и инструменти се сменят най-редовно. По този начин се променя почеркът и Evilnum става по-труден за разпознаване. Новият троянски вирус е способен да извършва дейността си, поради това, че зловредният код е забулен под много различни слоеве, като включително може да бъде включен в кода на легитимен софтуер.

“Тази тактика работи в тяхна полза по няколко начина, включително избягване на откриване и поддържане на постоянство – злоупотребата с легитимен код е по-често срещана при по-изисканите и сложни хакерски акции,” казва Том Фактерман от Cybereason пред ZDNet, а специалистите са убедени, че кампанията е много добре финансирана и е на високо професионално ниво.

Те също така вярват, че е въпрос на време Evilnum да смени техниката си, така че да остане активен и да продължи да таргетира различни организации. Като превенция най-вече се препоръчва добрата информираност сред служителите – да не отварят фишинг имейли и да не изтеглят информация от съмнителни сайтове и въобще, цялостно подобряване на security хигиената.