Des hackers utilisent Telegram pour contrôler le malware ToxicEye

0

Les hackers abusent de plus en plus de Telegram pour l’utiliser comme un système de « commande et de contrôle » pour distribuer des logiciels malveillants dans des organisations qui pourraient ensuite être utilisées pour capturer des informations sensibles sur des systèmes ciblés.

« Même lorsque Telegram n’est pas installé ou utilisé, le système permet aux pirates d’envoyer des commandes malveillantes et des opérations à distance via l’application de messagerie instantanée », ont déclaré les chercheurs de la société de cybersécurité Check Point, qui ont identifié pas moins de 130 attaques au cours des trois derniers mois qui font usage d’un nouveau cheval de Troie multifonctionnel d’accès à distance appelé « ToxicEye. »

L’utilisation de Telegram pour faciliter les activités malveillantes n’est pas nouvelle. En Septembre 2019, un voleur d’informations surnommé Masad Stealer pillait des informations et des données de portefeuille de crypto-monnaie depuis des ordinateurs infectés en utilisant Telegram comme canal d’exfiltration. Puis, l’année dernière, les groupes Magecart ont adopté la même tactique pour envoyer aux attaquants les détails de paiement volés à partir de sites Web compromis.

La stratégie porte également ses fruits de plusieurs façons. Pour commencer, Telegram n’est pas bloqué par les moteurs antivirus d’entreprise, l’application de messagerie permet également aux attaquants de rester anonymes, étant donné que le processus d’enregistrement ne nécessite qu’un numéro de téléphone mobile, leur donnant ainsi accès à des appareils infectés à partir de pratiquement n’importe quel endroit à travers le monde.

telegram

La dernière campagne repérée par Check Point n’est pas différente. Diffusé via des e-mails d’hameçonnage intégrés à un fichier exécutable malveillant de Windows, ToxicEye utilise Telegram pour communiquer avec le serveur de commande et de contrôle (C2) et y télécharger des données. Le malware arbore également une gamme d’exploits qui lui permet de voler des données, transférer et supprimer des fichiers, mettre fin aux processus, déployer un keylogger, détourner le microphone et la caméra de l’ordinateur pour enregistrer l’audio et la vidéo, et même chiffrer des fichiers en échange d’une rançon.

Plus précisément, la chaîne d’attaque commence par la création d’un bot Telegram par l’attaquant, qui est ensuite intégré dans le fichier de configuration du malware, avant de le compiler dans un exécutable (par exemple « PayPal checker by saint.exe »). Ce fichier EXE est ensuite injecté dans un document Word (« solution.doc ») qui, une fois ouvert, télécharge et exécute le RAT(Remote Access Tool) de Telegram (« C:\Users\ToxicEye\rat.exe »).

« Nous avons découvert une tendance croissante où les auteurs de logiciels malveillants utilisent la plate-forme Telegram comme un système de commande et de contrôle pour la distribution de logiciels malveillants dans les organisations », a déclaré Idan Sharabi de Check Point. « Nous croyons que les attaquants tirent parti du fait que Telegram est utilisé et autorisé dans presque toutes les organisations, ils utilisent ce système pour effectuer des cyberattaques qui peuvent contourner les restrictions de sécurité. »

Laisser un commentaire