Comment les logiciels malveillants RAT utilisent Telegram pour éviter d'être détectés

  • Principal
  • Nouvelles
  • Comment les logiciels malveillants RAT utilisent Telegram pour éviter d'être détectés

DANIEL CONSTANT

Telegram est une application de chat pratique. Les créateurs de logiciels malveillants le pensent aussi ! ToxicEye est un programme malveillant RAT qui diffuse sur le réseau Telegram, communiquant avec ses créateurs via le service de chat populaire.

Les logiciels malveillants discutent sur Telegram

Début 2021, des dizaines d'utilisateurs ont quitté WhatsApp pour des applications de messagerie qui promettaient une meilleure sécurité des données après que l'entreprise a annoncé qu'elle partagerait les métadonnées des utilisateurs avec Facebook par défaut. Beaucoup de ces personnes se sont tournées vers les applications concurrentes Telegram et Signal.

Telegram a été l'application la plus téléchargée, avec plus de 63 millions d'installations en janvier 2021, selon Sensor Tower. Les chats Telegram ne sont pas cryptés de bout en bout comme les chats Signal, et maintenant Telegram a un autre problème : les logiciels malveillants.

Société de logiciels Check Point récemment découvert que les attaquants utilisent Telegram comme canal de communication pour un programme malveillant appelé ToxicEye. Il s'avère que les attaquants peuvent utiliser certaines des fonctionnalités de Telegram pour communiquer avec leurs logiciels malveillants plus facilement que via des outils Web. Ils peuvent désormais interférer avec les ordinateurs infectés via un chatbot Telegram très pratique.

Qu'est-ce que ToxicEye et comment ça marche ?

ToxicEye est un type de logiciel malveillant appelé cheval de Troie d'accès à distance (RAT). Les RAT peuvent donner à un attaquant le contrôle à distance d'une machine infectée, ce qui signifie qu'ils peuvent :

  • voler des données de l'ordinateur hôte.
  • supprimer ou transférer des fichiers.
  • tuer les processus en cours d'exécution sur l'ordinateur infecté.
  • Détournez le microphone et la caméra de votre ordinateur pour enregistrer de l'audio et de la vidéo sans votre consentement ni à votre connaissance.
  • crypter des fichiers pour extorquer de l'argent aux utilisateurs.

ToxicEye RAT se propage via un schéma de phishing dans lequel un e-mail avec un fichier EXE intégré est envoyé à une cible. Si l'utilisateur ciblé ouvre le fichier, le programme installe le logiciel malveillant sur son appareil.

Les RAT sont similaires aux programmes d'accès à distance que, par exemple, une personne du support technique peut utiliser pour prendre le contrôle de votre ordinateur et résoudre un problème. Mais ces programmes s'infiltrent sans autorisation. Ils peuvent imiter ou se cacher derrière des fichiers légitimes, souvent déguisés en documents ou intégrés dans un fichier plus volumineux, tel qu'un jeu vidéo.

Comment les attaquants utilisent Telegram pour contrôler les logiciels malveillants

En 2017, les attaquants ont utilisé Telegram pour contrôler les logiciels malveillants à distance. Un exemple notable en est le Programme Masad Stealer qui a vidé les portefeuilles crypto des victimes cette année-là.

Le chercheur de Check Point, Omer Hofman, affirme que la société a détecté 130 attaques ToxicEye en utilisant cette méthode de février à avril 2021, et il y a quelques éléments qui rendent Telegram utile aux attaquants qui propagent des logiciels malveillants.

D'une part, Telegram n'est pas bloqué par un logiciel pare-feu. Il n'est pas non plus bloqué par les outils d'administration réseau. C'est une application facile à utiliser que beaucoup de gens reconnaissent comme légitime et baissent donc leur garde.

L'inscription à Telegram ne nécessite qu'un numéro de téléphone portable, afin que les attaquants puissent rester anonymes. Cela leur permet également d'attaquer des appareils à partir de leur appareil mobile, ce qui signifie qu'ils peuvent lancer une cyberattaque de n'importe où. L'anonymat rend extrêmement difficile d'attribuer des attaques à quelqu'un et de les arrêter.

La chaîne des infections

Voici comment fonctionne la chaîne d'infection ToxicEye :

  1. L'attaquant crée d'abord un compte Telegram puis un fichier Télégramme 'bot', que vous pouvez effectuer des actions à distance via l'application.
  2. Le jeton du bot est injecté dans le code source malveillant.
  3. Ce code malveillant est envoyé sous forme de spam, qui est souvent déguisé en quelque chose de légitime sur lequel l'utilisateur peut cliquer.
  4. Le fichier joint est ouvert, installé sur l'ordinateur hôte et envoie les informations au centre de commande de l'attaquant via le bot Telegram.

Étant donné que ce RAT est envoyé via des spams, vous n'avez même pas besoin d'être un utilisateur de Telegram pour être infecté.

Être prudent

Si vous pensez avoir téléchargé ToxicEye, Check Point recommande aux utilisateurs de vérifier le fichier suivant sur leur PC : C:UsersToxicEye at.exe

Si vous le trouvez sur un ordinateur de travail, supprimez le fichier de votre système et contactez immédiatement leur service d'assistance. S'il se trouve sur un appareil personnel, supprimez le fichier et exécutez immédiatement une analyse du logiciel antivirus.

Au moment de la rédaction, fin avril 2021, ces attaques n'ont été découvertes que sur les PC Windows. Si vous n'avez pas encore installé un bon programme antivirus, il est maintenant temps de le télécharger.

D'autres conseils éprouvés pour une bonne « hygiène numérique » s'appliquent également, tels que :

  • N'ouvrez pas les pièces jointes qui semblent suspectes et/ou qui proviennent d'expéditeurs inconnus.
  • Soyez prudent avec les pièces jointes qui contiennent des noms d'utilisateur. Les e-mails malveillants incluent souvent votre nom d'utilisateur dans la ligne d'objet ou le nom d'une pièce jointe.
  • Si l'e-mail essaie de paraître urgent, menaçant ou autoritaire et vous pousse à cliquer sur un lien/une pièce jointe ou à fournir des informations sensibles, il est probablement malveillant.
  • Utilisez un logiciel anti-hameçonnage si vous le pouvez.

Le code Masad Stealer a été mis à disposition sur Github après les attaques de 2017. Check Point affirme qu'il a conduit au développement de plusieurs autres logiciels malveillants, dont ToxicEye :

'Depuis que Masad est devenu disponible sur les forums de piratage, des dizaines de nouveaux types de logiciels malveillants utilisent Telegram pour [command and control] et exploitent les capacités de Telegram pour des activités malveillantes, ils ont été trouvés comme des armes' prêtes à l'emploi 'dans les référentiels d'outils de piratage sur GitHub. '

Les entreprises utilisant le logiciel feraient bien d'envisager de passer à autre chose ou de les bloquer sur leurs réseaux jusqu'à ce que Telegram mette en place une solution pour bloquer ce canal de distribution.

En attendant, les utilisateurs individuels doivent garder les yeux ouverts, être conscients des risques et vérifier régulièrement leurs systèmes pour détecter les menaces et peut-être envisager de passer à Signal.

Qu'est-ce que tu penses?