„ToxicEye” na Telegramie. Komunikator (nie)bezpieczny?

23 kwietnia 2021, 15:15
51014580912_b8828565ba_c
Fot. Marco Verch Professional Photographer/Flickr/CC BY 2.0

Hakerzy za pomocą Telegrama rozpowszechniają złośliwego trojana zdalnego dostępu, aby przejąć kontrolę nad urządzeniami ofiar. Wirus pozwala im na m.in. kradzież danych, zakłócanie pracy systemów, dostęp do kamery i mikrofony oraz szyfrowanie zbioru danych w celu żądania okupu. Zdaniem specjalistów jest to efekt konstrukcji komunikatora, która sprzyja działalności hakerów.

Komunikator Telegram w ostatnim czasie zyskał na popularności, kosztem swojego konkurenta WhatsAppa, który zapowiedział zmiany przepisów prywatności, co wywołało kontrowersje i poruszenie wśród jego użytkowników. Jak informowaliśmy na naszym portalu, w efekcie tego coraz więcej osób zdecydowało się korzystać z usługi oferowanej przez Telegrama. Potwierdzają to liczby, według których komunikator był najczęściej pobieraną apką w styczniu br. – został zainstalowany ponad 63 mln razy, a liczba jego aktywnych użytkowników przekroczyła 500 mln miesięcznie.

Wzrost popularności Telegrama starają się wykorzystać hakerzy – alarmują specjaliści CheckPoint w swoim raporcie. Podczas najnowszej kampanii ich celem jest przejęcie kontroli nad urządzeniem ofiar za pomocą złośliwego oprogramowania „ToxicEye”.

Eksperci wskazują, że pierwszy raz Telegrama do przejęcia kontroli nad urządzeniem wykorzystano w 2017 roku. Wówczas hakerzy użyli do tego celu wirusa „Masad”. Był to przełom, który utwierdził ich w przekonaniu, że komunikator może przynieść im wiele korzyści. Wynika to z faktu, że Telegram jest legalną, łatwą w użyciu i stabilną usługą, która nie jest blokowana przez firmowe antywirusy, ani też inne tego typu narzędzia. Co więcej, hakerzy mogą pozostać anonimowi, ponieważ proces rejestracji wymaga jedynie numeru telefonu komórkowego. Ponadto, wyjątkowe opcje Telegrama sprawiają, że cyberprzestępcy mogą pozyskiwać dane z komputerów ofiar lub infekować je złośliwym oprogramowaniem, prowadząc operacje z niemalże każdego miejsca na świecie.

Od ponad trzech miesięcy specjaliści CheckPoint zidentyfikowali powyżej 130 ataków, podczas których wykorzystano trojana zdalnego dostępu „ToxicEye”. Jest on rozsyłany przez hakerów za pomocą wiadomości phishingowych, w których zawarto wirusa. W momencie, gdy użytkownik otworzy zainfekowany plik, instaluje złośliwe oprogramowanie, które pozwala hakerom na kradzież danych, usuwanie lub przesyłanie dowolnych plików, zakłócenie pracy systemów, przejęcie dostępu do mikrofonu lub aparatu urządzenia w celu nagrywania dźwięku lub wideo, a także zaszyfrowanie baz danych z myślą o żądaniu okupu.

Jak działają hakerzy? W pierwszym kroku tworzą konto na Telegramie, które działa jak bot – wchodzi ono w interakcje z innymi użytkownikami, tworzy grupy itd. Stworzony przez hakerów bot jest osadzony w jednym z plików „ToxicEye RAT”. Jak tłumaczą specjaliści CheckPoint, każdy użytkownik komunikatora może zostać zaatakowany za pośrednictwem tego rozwiązania, które połączy dane urządzenie z centrum zdalnej kontroli, będącym w rękach hakerów. W ten sposób przejmują oni kontrolę nad sprzętem i mogą wykonywać dowolne polecenia bez wiedzy właściciela.

Wcześniej na naszym materiale ostrzegaliśmy o zamieszczeniu przez cyberprzestępców w  wyszukiwarce Google fałszywej oferty dotyczącą komunikatora Telegram w wersji na komputery, która w rzeczywistości jest nośnikiem złośliwego oprogramowania. Aby zwiększyć zasięg kampanii, link z ładunkiem został zamieszczony wysoko na liście wyników po wpisaniu frazy „Telegram desktop”. Rozpowszechniany w ten sposób wirus był narzędziem szpiegowskim.

KomentarzeLiczba komentarzy: 1
observer
wtorek, 27 kwietnia 2021, 17:28

Telegram od dawna 'śmierdział' a teraz jeszcze pełno informacji o tym że powstanie Signal finansowało CIA żeby podsłuchiwać naiwniaków wierzących w bezpieczeństwo Signal. Coraz ciekawiej na rynku komunikatorów...

Tweets CyberDefence24