网络罪犯利用电报信使控制有毒恶意软件

对手越来越多地滥用电报作为“命令和控制”系统，将恶意软件分发到组织中，然后利用这些恶意软件从目标系统捕获敏感信息。

网络安全公司Check Point的研究人员说：“即使没有安装或使用电报，该系统也允许黑客通过即时通讯应用程序远程发送恶意命令和操作。”，世卫组织在过去三个月里发现了不少于130起利用一种名为“ToxicEye”的新型多功能远程访问特洛伊木马（RAT）的攻击

利用电报为恶意活动提供便利并非新鲜事。2019年9月，一名名为Masad stealer的信息窃取者被发现利用电报作为过滤渠道，从受感染的计算机上窃取信息和加密货币钱包数据。去年，Magecart集团采用了同样的策略，将被盗的支付详细信息从受损网站发送回攻击者。

这一战略也在许多方面获得了回报。首先，Telegram不仅没有被企业防病毒引擎屏蔽，而且由于注册过程只需要一个手机号码，该消息应用还允许攻击者保持匿名，从而使他们能够从世界各地的几乎任何位置访问受感染的设备。

Check Point发现的最新活动也不例外。ToxicEye通过嵌入恶意Windows可执行文件的钓鱼电子邮件传播，使用电报与指挥与控制（C2）服务器通信，并向其上传数据。该恶意软件还进行了一系列攻击，使其能够窃取数据、传输和删除文件、终止进程、部署键盘记录器、劫持计算机的麦克风和摄像头以录制音频和视频，甚至为索取赎金而加密文件。

具体来说，攻击链从攻击者创建电报机器人开始，然后将其嵌入RAT的配置文件中，然后将其编译为可执行文件（例如“paypal checker by saint.exe”）。这EXE文件随后被注入一个诱饵Word文档（“solution.doc”），打开该文档后，下载并运行电报RAT（“C:\Users\ToxicEye\RAT.EXE”）。

Check Point R&；D集团经理伊丹·沙拉比说。“我们认为，攻击者利用了几乎所有组织都使用和允许电报的事实，利用该系统进行网络攻击，从而绕过安全限制。”