سوءاستفاده از تلگرام به‌منظور کنترل بدافزار ToxicEye

telegram logo

سوءاستفاده از تلگرام به‌عنوان یک سیستم “Command-and-control” برای توزیع بدافزارها در سازمان‌ها به‌منظور هدف قراردادن سیستم‌های آن‌ها برای دزدیدن اطلاعات و دارایی‌های حساس‌شان، توسط خلافکاران سایبری به‌طور فزاینده‌ای افزایش داشته‌است.

به نقل از محققان گروه امنیت‌سایبری Check Point : “حتی زمانی که تلگرام بر روی سیستم نصب نشده‌باشد یا مورد استفاده قرار نمی‌گیرد، باز هم این امکان را برای هکرها فراهم می‌کند تا با استفاده از نسخه پیام‌فوری دستورات و عملیات مخرب را از راه دور برای قربانیان ارسال کنند.” لازم به ذکر است این محققان در طی سه ماه گذشته حدود 130 حمله که از یک تروجان از راه دور جدید چند منظوره (RAT) به نام ToxicEye استفاده شده‌بود، شناسایی کردند.

استفاده از تلگرام برا انجام و تسهیل فعالیت‌های مخرب امر جدیدی نیست. در سمپتامبر 2019، یک دزد اطلاعات به نام “Masad Stealer” پیدا شد، که با بکار گیری تلگرام به‌عنوان کانال انتقال داده، اطلاعات کیف پول‌ ارزهای رمزنگاری شده را در سیستم‌های آلوده به‌صورت غیر مجاز استخراج می‌کرد. سال گذشته، گروه‌های Magecart از همین تکنیک برای ارسال جزئیات پرداخت سرقت شده از وب‌سایت‌های آسیب‌پذیر به مهاجمان استفاده کردند.

این تکنیک و استراتژی کاربردهای مختلفی دارد. برای مثال، نه‌تنها تلگرام توسط موتورهای سازنده آنتی‌ویروس‌ها مسدود نمی‌شود، بلکه این پیام‌رسان امکان ناشناس ماندن را نیز می‌دهد. زیرا لازمه فرایند ثبت‌نام فقط وارد کردن یک شماره تماس است، در نتیجه مهاجم می‌تواند از هرکجای دنیا که بخواهد به دستگاه آلوده دسترسی داشته‌باشد.

telegram exploit

آخرین کمپین مشاهده شده توسط Check Point نیز خبر از عدم تغییر این استراتژی می‌دهد. ToxicEye از طریق ایمیل‌های فیشینگ در یک فایل اجرایی مخرب ویندوزی قرار می‌گیرد، و از تلگرام برای ارتباط با سرور “Comman_and_control” استفاده کرده و داده‌ها را در آن بارگذاری می‌کند. این بدافزار قابلیت انجام انواع سوءاستفاده‌ و اکسپلویت‌ها که به آن امکان دزدی داده، انقال و حذف فایل‌ها، ازبین بردن فرایندهای اجرایی، استقرار کی‌لاگر، ربودن کنترل میکروفون و دوربین رایانه برای ضبط صدا و تصویر و حتی رمزگذاری یک فایل برای دریافت باج در ازای رمزگشایی آن را، دارا می‌باشد.

از دید تخصصی، زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می‌شود. سپس در فایل پیکربندی RATها جاسازی می‌شود. قبل از این‌که آن را به یک فرم اجرایی (مانند PayPal Checker که توسط saint.exe اجرا می‌شود) وارد کنند، این فایل EXE به یک سند Word فریب دهنده تزریق می‌شود. (مثل Solution.doc) که با باز شدن آن Telegram RAT را بارگیری کرده و پس از آن اجرا می‌کند.

برای مثال این RAT می‌تواند در آدرس: “C:\Users\ToxicEye\rat.exe” قرار بگیرد.

به نقل از ایدان شرابی، مدیر گروه تحقیق و توسعه Check Point: ما روند رو به رشدی کشف کرده‌ایم که سازندگان بدافزارها از پلت‌فرم تلگرام به عنوان یک سیستم “Command-and-control” به‌صورت Out-Of-The-Box برای توزیع بدافزارهای خود در سازمان‌ها استفاده می‌کنند. همچنین ما باور داریم مهاجمان با استفاده از این حقیقت، که استفاده تلگرام تقریباً در همه سازمان‌ها مجاز است، از این پلت‌فرم که می‌تواند محدودیت‌های امنیتی را دور بزند برای اجرای حملات سایبری استفاده می‌کنند”

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.