Check Point Research warnt vor einer neuen Kampagne, die Millionen von Nutzern bedroht. Cyber-Kriminelle können über den beliebten Nachrichtendienst Telegram verseuchte Dateien auf Computern installieren und diese Programme steuern. Um Computer zu infizieren verstecken die Hacker die Malware hinter E-Mail-Anhängen.

Voraus ging die Erkenntnis, dass Check Point Research innerhalb der letzten drei Monate über 130 Cyber-Attacken von einem Remote Access Trojaner (RAT) namens ToxicEye beobachtete, die von den Akteuren über Telegram koordiniert wurden. Telegram zählt weltweit über 500 Millionen aktive Nutzer und gehört zu den zehn am häufigsten heruntergeladenen Apps weltweit.

Der Angriffsweg sieht so aus:

  1. Die Hacker erstellen ein Telegram-Konto und einen speziellen Telegram-Bot. Dies ist ein ferngesteuertes Konto, mit dem die Nutzer über den Telegram-Chat interagieren können, oder über Gruppen, oder über das Input-Feld, wenn sie den Namen des Bots und die Anfrage eingeben.

  2. Der Anmelde-Token des Bots wird mit einer Malware kombiniert.

  3. Die Malware wird als Anhang über eine Spam-E-Mail verbreitet. Ein gefundenes Beispiel nannte sich paypal checker by saint.exe.

  4. Das Opfer öffnet den schädlichen Anhang, der sich dann mit Telegram verbindet. Von nun an kann jeder, dessen Computer durch die Malware verseucht wurde, von dem Telegram-Bot der Hacker attackiert werden – gleichgültig, ob Telegram überhaupt installiert ist. Die Malware verbindet schlicht das Gerät des Nutzers mit dem Command-and-Control-Server der Angreifer über Telegram.

  5. Jetzt besitzt der Hacker die Kontrolle über das Gerät und kann verschiedene, schädliche Aktivitäten ausführen.

Die Auswirkungen einer erfolgreichen Attacke sind vielfältig. Beobachtet wurden:

  • File System Control (Löschen oder Übertragen von Dateien; Stoppen von Prozessen; Übernahme des Task-Managers).

  • Datenlecks (Diebstahl von Bildern, Videos, Kennwörter, System-Informationen, Browser-Chronik und Cookies).

  • Ransomware (Verschlüsselung von Daten).

  • I/O-hijacking (Installation eines Keyloggers, der die Eingaben mitliest; heimliche Aufnahme von Ton und Bild über Mikrophon und Kamera des Geräts; Knacken des Clipboards).

Die Sicherheitsforscher sind überzeugt, dass Telegram derzeit vermehrt angegriffen wird, weil es einen großen Zuwachs von Nutzern zu verzeichnen hat – auch als Unternehmensanwendung. Dutzende neuer Malware gegen Telgram, die einsatzbereit gekauft werden kann, liegen in Github-Speichern bereit.

Einige Umstände kommen den Hackern entgegen:

  • Telegram wird von Sicherheitslösungen in Unternehmen nicht blockiert, weil es eine echte, sichere und stabile Anwendung ist, die außerdem einfach zu bedienen ist und dort häufig zum Einsatz kommt.

  • Telegram wahrt die Anonymität der Nutzer und damit auch der Angreifer hinter den verseuchten Konten, weil die Registrierung nur eine Telefonnummer fordert.

  • Die technische Art und Weise, wie über Telegram kommuniziert wird, ermöglicht den Angreifern einfachen Diebstahl von Daten von einem Computer oder die Übertragung infizierter Daten an das Gerät.

  • Die Angreifer können ihre Mobiltelefone nutzen, um infizierte Computer überall auf der Welt über Telegram anzuwählen.

Weitere Beiträge....