Telegram est une application de messagerie populaire qui a vu son nombre d’utilisateurs monter en flèche ces derniers mois. En fait, de nombreux utilisateurs de WhatsApp ont opté pour Telegram après les récents changements apportés aux politiques de confidentialité et de gestion des données de l’application.
Telegram s’est également révélé populaire auprès des cybercriminels qui l’utilisent pour distribuer et pour communiquer avec des malwares.
Comment les cybercriminels utilisent Telegram pour distribuer des malwares ?
Récemment, une campagne a été identifiée, impliquant une nouvelle variante de malware appelée ToxicEye. Le malware ToxicEye est un cheval de Troie d’accès à distance (RAT) qui donne à un attaquant le contrôle total d’un appareil infecté. Le malware est utilisé pour voler des données sensibles et télécharger d’autres variantes de malware.
Le malware utilise un compte Telegram pour ses communications avec le serveur de commande et de contrôle. Grâce au compte Telegram de l’attaquant, il peut communiquer avec un appareil infecté par ToxicEye ; exfiltrer des données et transmettre des charges utiles malveillantes supplémentaires.
Il est facile de voir l’intérêt d’utiliser Telegram pour communiquer avec des malwares. Tout d’abord, l’application est populaire. L’application Telegram était l’application la plus populaire en janvier 2021, avec plus de 63 millions de téléchargements, et environ 500 millions d’utilisateurs actifs dans le monde.
Pendant la pandémie, l’appli a été adoptée par de nombreuses entreprises qui l’ont utilisée pour permettre à leurs travailleurs à distance de communiquer et de collaborer. L’application prend en charge la messagerie sécurisée et privée et la plupart des entreprises autorisent l’utilisation de Telegram et ne bloquent ni n’inspectent les communications.
La création d’un compte Telegram est facile et les attaquants peuvent rester anonymes. Tout ce qui est nécessaire pour créer un compte est un numéro de téléphone mobile. L’infrastructure de communication permet aux attaquants d’exfiltrer facilement des données et d’envoyer des fichiers à des appareils infectés par des malwares sans être détectés.
Telegram est également utilisé pour distribuer des malwares. Les attaquants peuvent créer un compte, utiliser un robot Telegram pour interagir avec d’autres utilisateurs et envoyer des fichiers. Il est également possible d’envoyer des fichiers à des non-utilisateurs de Telegram par le biais d’emails de phishing avec des pièces jointes malveillantes.
Les emails de phishing sont souvent utilisés pour diffuser le malware ToxicEye. Les emails sont envoyés avec un fichier .exe en pièce jointe, une campagne utilisant un fichier nommé « paypal checker by saint.exe » pour installer le malware.
Si la pièce jointe est ouverte et exécutée, une connexion est établie avec Telegram, ce qui permet au robot Telegram de l’attaquant de télécharger le malware.
Les attaquants peuvent réaliser toute une série d’activités malveillantes une fois le malware installé. Leurs principaux objectifs sont de recueillir des informations sur l’appareil infecté ; de localiser et d’exfiltrer des mots de passe et de voler des cookies et des historiques de navigation.
Le malware ToxicEye peut tuer les processus actifs et prendre le contrôle du gestionnaire des tâches ; enregistrer des fichiers audio et vidéo ; voler le contenu du presse-papiers et déployer d’autres variantes de malware, à l’instar des enregistreurs de frappe et des ransomwares.
Quelles sont les solutions pour se protéger des malwares ?
TitanHQ propose deux solutions permettant de se protéger contre ToxicEye et d’autres campagnes de phishing et de malware basées sur Telegram.
SpamTitan est une solution puissante de sécurité des emails qui bloque les emails malveillants contenant les fichiers exécutables qui installent le RAT ToxicEye et d’autres malwares.
Pour une protection encore plus grande, SpamTitan doit être associé à la solution de sécurité WebTitan.
WebTitan est une solution de filtrage web basée sur le DNS qui peut être configurée pour bloquer l’accès à Telegram s’il n’est pas utilisé et surveiller le trafic en temps réel pour identifier les communications potentiellement malveillantes.
Pour plus d’informations sur ces deux solutions, sur les détails de la tarification, et pour vous inscrire à un essai gratuit, contactez TitanHQ aujourd’hui.