Hacker sử dụng Telegram để điều khiển ToxicEye malware

Hacker sử dụng Telegram để điều khiển ToxicEye malware

April 23, 2021 | vietsunshine

Hacker đang ngày càng sử dụng Telegram như một hệ thống “ra lệnh và kiểm soát” (command-and-control) để phân phối phần mềm độc hại vào các tổ chức mà sau đó có thể được sử dụng để thu thập thông tin nhạy cảm từ các hệ thống được nhắm mục tiêu.

“Ngay cả khi Telegram không được cài đặt hoặc đang được sử dụng, hệ thống cho phép tin tặc gửi các lệnh và hoạt động độc hại từ xa thông qua ứng dụng nhắn tin tức thì”, các nhà nghiên cứu cho biết. Họ đã xác định được không dưới 130 cuộc tấn công trong ba tháng qua sử dụng trojan truy cập từ xa đa chức năng (RAT) mới được gọi là “ToxicEye.”

Việc sử dụng Telegram để tạo điều kiện cho các hoạt động độc hại không phải là mới. Vào tháng 9 năm 2019, một kẻ đánh cắp thông tin có tên là Masad Stealer đã bị phát hiện ăn cắp thông tin và dữ liệu ví tiền điện tử từ các máy tính bị nhiễm bằng cách sử dụng Telegram làm kênh truy quét. Sau đó vào năm ngoái, các nhóm Magecart đã áp dụng cùng một chiến thuật để gửi các chi tiết thanh toán bị đánh cắp từ các trang web bị xâm nhập cho những kẻ tấn công.

Chiến lược này cũng mang lại hiệu quả theo một số cách. Đầu tiên, Telegram không chỉ không bị chặn bởi các công cụ chống vi-rút doanh nghiệp, ứng dụng nhắn tin còn cho phép những kẻ tấn công ẩn danh, do quá trình đăng ký chỉ yêu cầu số di động, do đó cho phép chúng truy cập vào các thiết bị bị nhiễm từ hầu như bất kỳ vị trí nào trên thế giới.

Hacker sử dụng Telegram để điều khiển ToxicEye malware_1

Chiến dịch mới nhất được phát hiện cũng tương tự. Phát tán qua các email lừa đảo được nhúng với tệp thực thi Windows độc hại, ToxicEye sử dụng Telegram để giao tiếp với máy chủ command-and-control (C2) và tải dữ liệu lên đó. Phần mềm độc hại này cũng có nhiều cách khai thác cho phép nó ăn cắp dữ liệu, chuyển và xóa tệp, chấm dứt quy trình, triển khai keylogger, chiếm đoạt micrô và máy ảnh của máy tính để ghi âm thanh và video, thậm chí mã hóa tệp để đòi tiền chuộc.

Cụ thể, chuỗi tấn công bắt đầu với việc kẻ tấn công tạo ra một bot Telegram, sau đó được nhúng vào tệp cấu hình của RAT, trước khi biên dịch nó thành tệp thực thi (ví dụ: “paypal checker by Holy.exe”). Sau đó, tệp .EXE này được đưa vào tài liệu Word giả mạo (“solution.doc”), khi mở ra, tải xuống và chạy Telegram RAT (“C:\Users\ToxicEye\rat.exe”).

“Chúng tôi đã phát hiện ra một xu hướng ngày càng tăng trong đó các tác giả phần mềm độc hại đang sử dụng nền tảng Telegram như một hệ thống kiểm soát và ra lệnh sẵn có để phân phối phần mềm độc hại vào các tổ chức. Chúng tôi tin rằng những kẻ tấn công đang tận dụng thực tế rằng Telegram được sử dụng và cho phép trong hầu hết các tổ chức, sử dụng hệ thống này để thực hiện các cuộc tấn công mạng, có thể vượt qua các hạn chế bảo mật.”

Nguồn: Cybercriminals Using Telegram Messenger to Control ToxicEye Malware

Tags: , ,