استفاده مهاجمان بدافزاری از تلگرام به عنوان یک سیستم “command-and-control” برای توزیع بدافزار در سازمانها روز به روز درحال افزایش است، که منجر به گرفتن اطلاعات حساس از سیستمهای هدف و سوءاستفاده میشود.
محققان شرکت امنیتی چکپوینت که طی سه ماه گذشته حدود ۱۳۰ حمله را شناسایی کردهاند، گفتند: حتی زمانی که تلگرام نصب نشده یا مورد استفاده قرار نمیگیرد، این سیستم به هکرها امکان میدهد از طریق برنامه instant Messaging دستورات را از راه دور ارسال کنند که برای این منظور از یک تروجان جدید چند منظوره (RAT) به نام “ToxicEye” استفاده میشود.
استفاده از تلگرام برای تسهیل فعالیتهای مخرب چیز جدیدی نیست. در سپتامبر ۲۰۱۹ یک سارق اطلاعات به نام Masad Stealer پیدا شد که اطلاعات و کیف پول ارزهای رمزنگاری شده را از سیستمهای آلوده با استفاده از Telegram به عنوان یک کانال exfiltration غارت میکرد. سپس سال گذشته گروههای Magecart همان روش را برای ارسال جزئیات پرداخت سرقت شده از وبسایتهای آلوده شده به مهاجمان به کار گرفتند.
این استراتژی به روشهای مختلف نیز جواب میدهد. برای شروع تلگرام نه تنها توسط موتورهای آنتیویروس شناسایی و مسدود نمیشود، بلکه این برنامه پیامرسان به ناشناس ماندن نیز کمک میکند، با توجه به اینکه مراحل ثبتنام فقط به یک شماره موبایل احتیاج دارد، در نتیجه تقریباً از هر مکانی در سراسر جهان میتوان با ساخت یک اکانت به دستگاههای آلوده دسترسی پیدا کرد.
آخرین کمپین مشاهده شده توسط Check Point نیز تفاوتی ندارد و از همین تکنیک استفاده میکند. ToxicEye از طریق ایمیلهای فیشینگ در یک فایل اجرایی مخرب ویندوز پخش میشود و از Telegram برای ارتباط با سرور فرمان و کنترل (C2) استفاده میکند و دادهها را در آن بارگذاری میکند. این بدافزار همچنین شامل ویژگیهایی است که به مهاجم امکان میدهد دادهها را سرقت کند، پروندهها را انتقال داده و حذف کند، پروسسها را خاتمه دهد، یک keylogger را در سیستم قربانی مستقر کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر استفاده کرده و حتی فایلها را برای دریافت باج رمزگذاری کند.
زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز میشود که پس از آن در پرونده پیکربندی RAT وارد میشود، سپس این پرونده .EXE به یک سند Word فریبدهنده تزریق میشود (“solution.doc”) که با باز شدن، RAT را بارگیری و اجرا میکند (“C:\Users\ToxicEye\rat.exe”).
Idan Sharabi مدیر گروه تحقیق و توسعه Check Point گفت: ما یک روند رو به رشد را کشف کردهایم که نویسندگان بدافزار از پلتفرم تلگرام به عنوان یک سیستم out-of-the-box command-and-control برای توزیع بدافزار در سازمانها استفاده میکنند. ما معتقدیم که مهاجمان از این واقعیت استفاده میکنند که تلگرام تقریباً در همه سازمانها مجاز و مورد استفاده قرار میگیرد، بنابراین از این سیستم برای انجام حملات سایبری استفاده میکنند زیرا میتواند محدودیتهای امنیتی را دور بزند.
یک نظر