Telegram is een handige chat-app. Zelfs makers van malware denken van wel! ToxicEye is een RAT-malwareprogramma dat meelift op het netwerk van Telegram en communiceert met zijn makers via de populaire chatservice.
Malware die chats op Telegram
Begin 2021 verlieten tientallen gebruikers WhatsApp voor berichtenapps die betere gegevensbeveiliging beloven nadat het bedrijf had aangekondigd dat het standaard metadata van gebruikers met Facebook zou delen. Veel van die mensen gingen naar concurrerende apps Telegram en Signal.
Volgens Sensor Tower was Telegram de meest gedownloade app, met meer dan 63 miljoen installaties in januari 2021. Telegram-chats zijn niet end-to-end-gecodeerd zoals Signal-chats, en nu heeft Telegram een ander probleem: malware.
Softwarebedrijf Check Point ontdekte onlangs dat slechte actoren Telegram gebruiken als communicatiekanaal voor een malwareprogramma genaamd ToxicEye. Het blijkt dat sommige functies van Telegram door aanvallers kunnen worden gebruikt om gemakkelijker met hun malware te communiceren dan via webgebaseerde tools. Nu kunnen ze rommelen met geïnfecteerde computers via een handige Telegram-chatbot.
Wat is ToxicEye en hoe werkt het?
ToxicEye is een type malware dat een trojan voor externe toegang (RAT) wordt genoemd. RAT’s kunnen een aanvaller op afstand controle geven over een geïnfecteerde machine, wat betekent dat ze:
- gegevens stelen van de hostcomputer.
- bestanden verwijderen of overdragen.
- dood processen die op de geïnfecteerde computer worden uitgevoerd.
- de microfoon en camera van de computer kapen om audio en video op te nemen zonder toestemming of medeweten van de gebruiker.
- bestanden versleutelen om losgeld van gebruikers af te persen.
De ToxicEye RAT wordt verspreid via een phishing-schema waarbij een doelwit een e-mail ontvangt met een ingesloten EXE-bestand. Als de beoogde gebruiker het bestand opent, installeert het programma de malware op zijn apparaat.
RAT’s zijn vergelijkbaar met de programma’s voor externe toegang die bijvoorbeeld iemand in technische ondersteuning kan gebruiken om de leiding over uw computer te nemen en een probleem op te lossen. Maar deze programma’s sluipen zonder toestemming binnen. Ze kunnen nabootsen of worden verborgen met legitieme bestanden, vaak vermomd als een document of ingebed in een groter bestand zoals een videogame.
Hoe aanvallers Telegram gebruiken om malware te beheersen
Al in 2017 gebruiken aanvallers Telegram om kwaadaardige software op afstand te controleren. Een opmerkelijk voorbeeld hiervan is het Masad Stealer-programma dat dat jaar de crypto-wallets van slachtoffers leeghaalde.
Check Point-onderzoeker Omer Hofman zegt dat het bedrijf 130 ToxicEye-aanvallen met deze methode heeft gevonden van februari tot april 2021, en er zijn een paar dingen die Telegram nuttig maken voor slechte actoren die malware verspreiden.
Om te beginnen wordt Telegram niet geblokkeerd door firewallsoftware. Het wordt ook niet geblokkeerd door netwerkbeheertools. Het is een gebruiksvriendelijke app die veel mensen als legitiem erkennen en dus hun hoede laten.
Voor het registreren voor Telegram is alleen een mobiel nummer vereist, zodat aanvallers anoniem kunnen blijven. Het stelt ze ook in staat apparaten vanaf hun mobiele apparaat aan te vallen, wat betekent dat ze vanaf vrijwel elke locatie een cyberaanval kunnen lanceren. Anonimiteit maakt het buitengewoon moeilijk om de aanvallen aan iemand toe te schrijven – en ze te stoppen.
De infectieketen
Hier is hoe de ToxicEye-infectieketen werkt:
- De aanvaller maakt eerst een Telegram-account aan en vervolgens een Telegram-“bot”, die op afstand acties kan uitvoeren via de app.
- Dat bot-token wordt in de kwaadaardige broncode ingevoegd.
- Die kwaadaardige code wordt verzonden als e-mailspam, die vaak wordt vermomd als iets legitiems waarop de gebruiker zou kunnen klikken.
- De bijlage wordt geopend, geïnstalleerd op de hostcomputer en stuurt informatie terug naar het commandocentrum van de aanvaller via de Telegram-bot.
Omdat deze RAT via spam-e-mail wordt verzonden, hoeft u niet eens een Telegram-gebruiker te zijn om geïnfecteerd te raken.
Veilig blijven
Als u denkt dat u ToxicEye heeft gedownload, raadt Check Point gebruikers aan om het volgende bestand op uw pc te controleren: C: Users ToxicEye rat.exe
Als u het op een werkcomputer vindt, wis het bestand dan van uw systeem en neem onmiddellijk contact op met uw helpdesk. Als het op een persoonlijk apparaat staat, wis het bestand dan en voer direct een antivirussoftwarescan uit.
Op het moment van schrijven, eind april 2021, zijn deze aanvallen alleen ontdekt op Windows-pc’s. Als je nog geen goed antivirusprogramma hebt geïnstalleerd, is dit het moment om het aan te schaffen.
Ook ander beproefd advies voor een goede ‘digitale hygiëne’ is van toepassing, zoals:
- Open geen e-mailbijlagen die er verdacht uitzien en / of afkomstig zijn van onbekende afzenders.
- Wees voorzichtig met bijlagen die gebruikersnamen bevatten. Schadelijke e-mails bevatten vaak uw gebruikersnaam in de onderwerpregel of de naam van een bijlage.
- Als de e-mail dringend, bedreigend of gezaghebbend probeert te klinken en u onder druk zet om op een link / bijlage te klikken of gevoelige informatie te geven, is deze waarschijnlijk kwaadaardig.
- Gebruik indien mogelijk antiphishing-software.
De Masad Stealer-code is beschikbaar gemaakt op Github na de aanslagen van 2017. Check Point zegt dat dit heeft geleid tot de ontwikkeling van een groot aantal andere kwaadaardige programma’s, waaronder ToxicEye:
“Sinds Masad beschikbaar kwam op hackforums, zijn er tientallen nieuwe soorten malware waarvoor Telegram wordt gebruikt [command and control] en gebruik maken van de functies van Telegram voor kwaadaardige activiteiten, zijn gevonden als ‘standaardwapens’ in opslagplaatsen voor hacktools in GitHub. “
Bedrijven die de software gebruiken, doen er goed aan om te overwegen om over te schakelen naar iets anders of het op hun netwerken te blokkeren totdat Telegram een oplossing implementeert om dit distributiekanaal te blokkeren.
In de tussentijd moeten individuele gebruikers hun ogen openhouden, zich bewust zijn van de risico’s en hun systemen regelmatig controleren om bedreigingen uit te sluiten – en misschien overwegen om in plaats daarvan over te schakelen naar Signal.
