Agence web » Actualités du digital » Comment RAT Malware utilise Telegram pour éviter la détection

Comment RAT Malware utilise Telegram pour éviter la détection

ParTremplin Numérique Publié le
Une silhouette sombre sur un ordinateur portable derrière un smartphone avec un logo Telegram.
DANIEL CONSTANTE / Shutterstock.com

Telegram est une application de chat pratique. Même les créateurs de logiciels malveillants le pensent! ToxicEye est un programme malveillant RAT qui se superpose au réseau de Telegram, communiquant avec ses créateurs via le service de chat populaire.

Logiciel malveillant qui chatte sur Telegram

Au début de 2021, de nombreux utilisateurs ont quitté WhatsApp pour des applications de messagerie promettant une meilleure sécurité des données après l’annonce de la société selon laquelle elle partagerait les métadonnées des utilisateurs avec Facebook par défaut. Beaucoup de ces personnes se sont tournées vers les applications concurrentes Telegram et Signal.

Telegram était l’application la plus téléchargée, avec plus de 63 millions d’installations en janvier 2021, selon Sensor Tower. Les chats Telegram ne sont pas chiffrés de bout en bout comme les chats Signal, et maintenant, Telegram a un autre problème: les logiciels malveillants.

La société de logiciels Check Point a récemment découvert que de mauvais acteurs utilisent Telegram comme canal de communication pour un programme malveillant appelé ToxicEye. Il s’avère que certaines des fonctionnalités de Telegram peuvent être utilisées par des attaquants pour communiquer avec leurs logiciels malveillants plus facilement que via des outils Web. Désormais, ils peuvent jouer avec les ordinateurs infectés via un chatbot Telegram pratique.

Qu’est-ce que ToxicEye et comment fonctionne-t-il?

ToxicEye est un type de malware appelé cheval de Troie d’accès à distance (RAT). Les RAT peuvent donner à un attaquant le contrôle à distance d’une machine infectée, ce qui signifie qu’ils peuvent:

  • voler des données de l’ordinateur hôte.
  • supprimer ou transférer des fichiers.
  • tuer les processus en cours d’exécution sur l’ordinateur infecté.
  • détourner le microphone et la caméra de l’ordinateur pour enregistrer de l’audio et de la vidéo sans le consentement ou la connaissance de l’utilisateur.
  • crypter les fichiers pour extorquer une rançon aux utilisateurs.

Le ToxicEye RAT se propage via un système de phishing où une cible reçoit un e-mail avec un fichier EXE intégré. Si l’utilisateur ciblé ouvre le fichier, le programme installe le logiciel malveillant sur son appareil.

Les RAT sont similaires aux programmes d’accès à distance que, par exemple, une personne du support technique pourrait utiliser pour prendre les commandes de votre ordinateur et résoudre un problème. Mais ces programmes se faufilent sans autorisation. Ils peuvent imiter ou être cachés avec des fichiers légitimes, souvent déguisés en document ou intégrés dans un fichier plus volumineux comme un jeu vidéo.

Comment les attaquants utilisent Telegram pour contrôler les logiciels malveillants

Dès 2017, des attaquants utilisent Telegram pour contrôler à distance des logiciels malveillants. Un exemple notable de cela est le programme Masad Stealer qui a vidé les portefeuilles cryptographiques des victimes cette année-là.

Le chercheur de Check Point, Omer Hofman, a déclaré que la société avait trouvé 130 attaques ToxicEye utilisant cette méthode entre février et avril 2021, et il y a quelques éléments qui rendent Telegram utile aux mauvais acteurs qui propagent des logiciels malveillants.

D’une part, Telegram n’est pas bloqué par un logiciel de pare-feu. Il n’est pas non plus bloqué par les outils de gestion de réseau. C’est une application facile à utiliser que de nombreuses personnes reconnaissent comme légitime et laissent donc baisser la garde.

L’inscription à Telegram ne nécessite qu’un numéro de mobile, les attaquants peuvent donc rester anonymes. Cela leur permet également d’attaquer des appareils à partir de leur appareil mobile, ce qui signifie qu’ils peuvent lancer une cyberattaque à partir de n’importe où. L’anonymat rend l’attribution des attaques à quelqu’un – et leur arrêt – extrêmement difficile.

La chaîne d’infection

Voici comment fonctionne la chaîne d’infection ToxicEye:

  1. L’attaquant crée d’abord un compte Telegram, puis un «bot» Telegram, qui peut effectuer des actions à distance via l’application.
  2. Ce jeton de bot est inséré dans un code source malveillant.
  3. Ce code malveillant est envoyé sous forme de courrier indésirable, qui est souvent déguisé en quelque chose de légitime sur lequel l’utilisateur peut cliquer.
  4. La pièce jointe s’ouvre, s’installe sur l’ordinateur hôte et renvoie les informations au centre de commande de l’attaquant via le bot Telegram.

Étant donné que ce RAT est envoyé par courrier indésirable, vous n’avez même pas besoin d’être un utilisateur de Telegram pour être infecté.

Rester en sécurité

Si vous pensez avoir téléchargé ToxicEye, Check Point conseille aux utilisateurs de rechercher le fichier suivant sur votre PC: C: Users ToxicEye rat.exe

Si vous le trouvez sur un ordinateur de travail, effacez le fichier de votre système et contactez immédiatement votre service d’assistance. S’il s’agit d’un appareil personnel, effacez le fichier et lancez immédiatement une analyse antivirus.

Au moment de la rédaction de cet article, à la fin du mois d’avril 2021, ces attaques n’ont été découvertes que sur des PC Windows. Si vous n’avez pas encore installé un bon programme antivirus, c’est le moment de l’obtenir.

D’autres conseils éprouvés pour une bonne «hygiène numérique» s’appliquent également, comme:

  • N’ouvrez pas les pièces jointes qui semblent suspectes et / ou proviennent d’expéditeurs inconnus.
  • Faites attention aux pièces jointes contenant des noms d’utilisateur. Les e-mails malveillants incluent souvent votre nom d’utilisateur dans la ligne d’objet ou le nom d’une pièce jointe.
  • Si l’e-mail essaie de paraître urgent, menaçant ou faisant autorité et vous oblige à cliquer sur un lien / une pièce jointe ou à donner des informations sensibles, il est probablement malveillant.
  • Utilisez un logiciel anti-hameçonnage si vous le pouvez.

Le code Masad Stealer a été rendu disponible sur Github suite aux attaques de 2017. Check Point dit que cela a conduit au développement d’une foule d’autres programmes malveillants, y compris ToxicEye:

«Depuis que Masad est devenu disponible sur les forums de piratage, des dizaines de nouveaux types de logiciels malveillants qui utilisent Telegram pour [command and control] et d’exploiter les fonctionnalités de Telegram pour les activités malveillantes, ont été trouvées comme des armes «standard» dans les référentiels d’outils de piratage sur GitHub. »

Les entreprises qui utilisent le logiciel feraient bien d’envisager de passer à autre chose ou de le bloquer sur leurs réseaux jusqu’à ce que Telegram mette en œuvre une solution pour bloquer ce canal de distribution.

En attendant, les utilisateurs individuels doivent garder les yeux ouverts, être conscients des risques et vérifier régulièrement leurs systèmes pour éliminer les menaces – et peut-être envisager de passer à Signal à la place.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.