ToxicEye 恶意软件活动滥用的电报平台

最新研究发现，即使未安装或使用该应用程序，威胁参与者也可以使用它通过电子邮件活动传播恶意软件并接管受害者的机器。

一项新的研究发现，黑客通过将其代码嵌入称为ToxicEye的远程访问木马（RAT）中来利用流行的Telegram消息传递应用程序。感染了ToxicEye恶意软件的受害者计算机是由黑客操作的电报消息帐户控制的。

据Check Point Software Technologies的研究人员称，ToxicEye恶意软件可以接管文件系统，安装勒索软件并从受害者的PC泄漏数据。

Check Point表示，在过去三个月中，它利用ToxicEye跟踪了130多次网络攻击，而ToxicEye由威胁参与者通过Telegram进行管理。根据周四在线发布的一份报告，攻击者使用消息传递服务与自己的服务器进行通信并向其中窃取数据。

Check Point研发经理 Idan Sharabi 表示，由于其广泛的使用和受欢迎程度，黑客很可能将Telegram定位为全球分销平台的活跃用户，该公司拥有超过5亿活跃用户。

他在一封电子邮件声明中说：“我们相信攻击者利用了几乎所有组织都使用和允许Telegram的事实，利用此系统进行网络攻击，可以绕过安全限制。”

研究人员指出，在大流行期间，尤其是近几个月来，Telegram（一种称为安全和私人消息传递服务）已经变得越来越流行。这是因为WhatsApp制定了新的隐私和数据管理政策，引起了用户的关注，并将其推向数以百万计的替代消息平台，如Telegram。

研究人员报告称，不断增长的Telegram用户群导致相应的激增，攻击者向Telegram平台投放了许多常见的恶意软件。根据Check Point的说法，还发现了针对Telegram用户的数十个“现成”恶意软件样本。

研究人员说，Telegram是掩盖此类活动的理想方法，因为它不受反病毒保护的阻止，并允许攻击者保持匿名，只需要注册一个手机号码即可。他们说，该应用程序还允许攻击者通过其通信基础设施，轻松地从受害者的PC中窃取数据或将新的恶意文件传输到受感染的计算机，并可以从世界任何地方远程进行此操作。

感染链

Telegram RAT攻击始于威胁行为者创建一个Telegram帐户和一个专用的 Telegram bot 或远程帐户，该帐户允许他们以各种方式与其他用户进行交互-包括聊天，将人添加到组中或通过以下方式直接从输入字段发送请求：键入机器人的电报用户名和查询。

然后，攻击者将僵尸令牌与RAT或其他选定的恶意软件捆绑在一起，并通过基于电子邮件的垃圾邮件活动将恶意软件作为电子邮件附件进行传播。他们说，例如，研究人员观察到攻击者通过名为“ saint.exe的Paypal Checker”文件传播恶意软件。

一旦受害者打开了恶意附件，它就会连接到Telegram，并通过Telegram僵尸程序使计算机容易受到远程攻击，该僵尸程序使用消息传递服务将受害者的设备连接回该攻击者的命令和控制服务器。报告。研究人员说，感染后攻击者可以完全控制受害者的机器，并且可以从事一系列邪恶活动。

在Check Point观察到的攻击中，使用ToxicEye RAT来查找和窃取用户设备中的密码，计算机信息，浏览器历史记录和cookie；删除和传输文件或终止PC进程以及接管PC的任务管理器；部署键盘记录器或录制受害者周围的音频和视频，以及窃取剪贴板中的内容；并使用勒索软件对受害者的文件进行加密和解密。

识别和缓解

Check Point表示，PC感染的迹象是在目录C：\ Users \ ToxicEye \ rat [。] exe中存在一个名为“ rat.exe”的文件。

研究人员说，当相关系统中未安装Telegram应用程序时，组织还应监视从PC到Telegram帐户的流量。

在审查电子邮件时，研究人员鼓励保持高度警惕。Check Point表示，收件人在使用电子邮件之前必须始终检查看起来可疑的电子邮件的收件人行。如果没有命名收件人，或者收件人未列出或未公开，则可能表明该电子邮件是网络钓鱼或恶意邮件。