استفاده مهاجمان بدافزاری از تلگرام به عنوان یک سیستم “command-and-control” برای توزیع بدافزار در سازمان‌ها روز به روز درحال افزایش است، که منجر به گرفتن اطلاعات حساس از سیستم‌های هدف و سوءاستفاده می‌شود.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: telegram.jpg
مشاهده: 15
حجم: 10.9 کیلو بایت

محققان شرکت امنیتی چک‌پوینت که طی سه ماه گذشته حدود ۱۳۰ حمله را شناسایی کرده‌اند، گفتند: حتی زمانی که تلگرام نصب نشده یا مورد استفاده قرار نمی‌گیرد، این سیستم به هکرها امکان می‌دهد از طریق برنامه instant Messaging دستورات را از راه دور ارسال کنند که برای این منظور از یک تروجان جدید چند منظوره (RAT) به نام “ToxicEye” استفاده می‌شود.

استفاده از تلگرام برای تسهیل فعالیت‌های مخرب چیز جدیدی نیست. در سپتامبر ۲۰۱۹ یک سارق اطلاعات به نام Masad Stealer پیدا شد که اطلاعات و کیف پول ارزهای رمزنگاری شده را از سیستم‌های آلوده با استفاده از Telegram به عنوان یک کانال exfiltration غارت می‌کرد. سپس سال گذشته گروه‌های Magecart همان روش را برای ارسال جزئیات پرداخت سرقت شده از وب‌سایت‌های آلوده شده به مهاجمان به کار گرفتند.

این استراتژی به روش‌های مختلف نیز جواب می‌دهد. برای شروع تلگرام نه تنها توسط موتورهای آنتی‌ویروس شناسایی و مسدود نمی‌شود، بلکه این برنامه پیام‌رسان به ناشناس ماندن نیز کمک می‌کند، با توجه به اینکه مراحل ثبت‌نام فقط به یک شماره موبایل احتیاج دارد، در نتیجه تقریباً از هر مکانی در سراسر جهان می‌توان با ساخت یک اکانت به دستگاه‌های آلوده دسترسی پیدا کرد.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: telegram.jpg
مشاهده: 7
حجم: 44.6 کیلو بایت

آخرین کمپین مشاهده شده توسط Check Point نیز تفاوتی ندارد و از همین تکنیک استفاده می‌کند. ToxicEye از طریق ایمیل‌های فیشینگ در یک فایل اجرایی مخرب ویندوز پخش می‌شود و از Telegram برای ارتباط با سرور فرمان و کنترل (C2) استفاده می‌کند و داده‌ها را در آن بارگذاری می‌کند. این بدافزار همچنین شامل ویژگی‌هایی است که به مهاجم امکان می‌دهد داده‌ها را سرقت کند، پرونده‌ها را انتقال داده و حذف کند، پروسس‌ها را خاتمه دهد، یک keylogger را در سیستم قربانی مستقر کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر استفاده کرده و حتی فایل‌ها را برای دریافت باج رمزگذاری کند.

زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می‌شود که پس از آن در پرونده پیکربندی RAT وارد می‌شود، سپس این پرونده .EXE به یک سند Word فریب‌دهنده تزریق می‌شود (“solution.doc”) که با باز شدن، RAT را بارگیری و اجرا می‌کند (“C:\Users\ToxicEye\rat.exe”).

Idan Sharabi مدیر گروه تحقیق و توسعه Check Point گفت: ما یک روند رو به رشد را کشف کرده‌ایم که نویسندگان بدافزار از پلتفرم تلگرام به عنوان یک سیستم out-of-the-box command-and-control برای توزیع بدافزار در سازمان‌ها استفاده می‌کنند. ما معتقدیم که مهاجمان از این واقعیت استفاده می‌کنند که تلگرام تقریباً در همه سازمان‌ها مجاز و مورد استفاده قرار می‌گیرد، بنابراین از این سیستم برای انجام حملات سایبری استفاده می‌کنند زیرا می‌تواند محدودیت‌های امنیتی را دور بزند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

62

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *