托克里氏恶意软件利用电报消息服务
在检查点研究的网络研究人员发现,通过利用安全报刊即时消息服务的特点,将托克尼特的远程访问特洛伊库(RAT)进行复制Toxiceye正在管理他们的网络犯罪活动。
检查点表示,它现在已经追踪了超过130次攻击过去三个月的托克西大鼠,并警告甚至没有安装在其设备上的电报的最终用户可能存在风险。
在分析的攻击中,攻击者首先创建了电报帐户和专用电报机器人,然后他们与托克利亚尔恶意软件捆绑在一起,并通过垃圾邮件广告系列作为电子邮件附件传播。
如果受害者打开,恶意附件连接到电报,使攻击者能够通过机器人在设备上立足。实际上,电报已成为他们的命令和控制(C2)基础设施。
“我们已经发现了一种日益增长的趋势,恶意软件作者正在使用电报平台作为用于组织的恶意软件分发的箱子的开箱设备和控制系统,”IDAN Sharabi的Check Point's R&D集团经理表示。
“此系统允许恶意软件用于远程接收未来的命令和操作,即使电报未安装或在目标PC上使用电报。在此处使用的黑客使用的恶意软件在GitHub等易于访问的地方很容易找到。我们认为攻击者正在利用电报在几乎所有组织中使用并允许的事实,这使得黑客的行为能够绕过安全限制。
“我们强烈地敦促组织和电报用户了解恶意电子邮件,并更具可疑的电子邮件,这些电子邮件将在主题中嵌入其用户名,或包含破损语言的电子邮件。
“鉴于电报可以用于分发恶意文件,或作为用于远程控制恶意软件的命令和控制信道,我们完全希望利用该平台的其他工具将继续在未来开发。”
在其他事情之外,托克斯恶意软件能够提出文件系统控制,数据exfiltration,并且可用于在安装勒索软件期间加密其受害者的文件。
Sharabi表示,该活动的发现是在电报的恶意软件中的“不断增长的趋势”的证据,这可能与消息传递服务的普及增加对齐。已经在GitHub上的黑客工具存储库中提供了许多基于电报的恶意。
网络犯罪分子可能是针对电报的原因有几个原因。首先,它是一种合法,易于使用和稳定的服务,很少被防病毒或网络管理工具阻止,因此它不受安全团队忽视。其次,作为匿名,安全的消息服务,攻击者自己能够保持匿名。第三,电报的通信功能使得很容易从受害者设备中抵消数据或将新的恶意文件传输到它们。最后,它还使他们能够从世界任何地方的标准移动设备中攻击他们的受害者。
用户可以通过检查其用于C:/Users/Toxiceye/rat.exe的文件来保护自己对托克尼州的侵害。如果发现您的设备被感染,您应该联系您的安全团队并删除它。为了避免感染开始,应该采取相同的预防措施,总是建议用于防范网络钓鱼攻击,例如谨慎对未经请求的电子邮件附件,特别是包含用户名的电子邮件附件;寻找未公开的或非上市的收件人;并注意语言使用和其他潜在的社会工程技术。
安全团队可以通过监控从组织内的PCS生成的流量来电报C2 - 如果发现,并且组织不使用电报作为企业解决方案,这可能是妥协(IOC)的指标,并通过保持全面的抗 - 网络钓鱼和电子邮件保护解决方案打开和最新。