Un nouveau Trojan d’accès à distance (RAT) exploite les communications Telegram pour voler les données des victimes et se mettre à jour pour effectuer d’autres activités malveillantes.
Tribune Check Point – Telegram, la plateforme de messagerie instantanée de Cloud, a connu un regain de popularité cette année en raison des modifications controversées apportées aux paramètres de confidentialité de son rival, WhatsApp. Telegram a été l’application la plus téléchargée dans le monde en janvier 2021 avec plus de 63 millions d’installations, et a dépassé les 500 millions d’utilisateurs actifs mensuels. Cette popularité s’étend également à la communauté des cybercriminels, qui l’utilisent comme système de commande et de contrôle (C&C) prêt à l’emploi pour leurs produits malveillants, car il offre plusieurs avantages par rapport à l’administration classique des logiciels malveillants sur le web.
Pourquoi les pirates se tournent-ils vers Telegram pour contrôler les logiciels malveillants ?
La première fois que Telegram a servi d’infrastructure C&C pour un logiciel malveillant a été par le biais du voleur d’informations « Masad » en 2017. Les criminels à l’origine de Masad ont compris que l’utilisation d’un service de messagerie instantanée populaire comme partie intégrante de leurs attaques leur procurait un certain nombre d’avantages opérationnels :
- Telegram est un service légitime, facile à utiliser et stable qui n’est pas bloqué par les antivirus des entreprises, ni par les outils de gestion de réseau.
- Les pirates peuvent rester anonymes car le processus d’enregistrement ne requiert qu’un numéro de téléphone mobile.
- Grâce aux fonctions de communication uniques de Telegram, les hackers peuvent facilement exfiltrer des données des PC des victimes ou transférer de nouveaux fichiers malveillants sur les machines infectées.
- Telegram leur permet également d’utiliser leurs appareils mobiles pour accéder aux ordinateurs infectés depuis presque n’importe quel endroit dans le monde.
Depuis l’apparition de Masad sur les forums de piratage, des dizaines de nouveaux types de malwares qui utilisent Telegram pour le C&C et exploitent ses fonctionnalités pour des activités malveillantes, ont été découverts comme armes « prêtes à l’emploi » dans les dépôts d’outils de piratage sur GitHub.
ToxicEye, un nouveau Trojan d’accès à distance
Au cours des trois derniers mois, Check Point Research (CPR) a relevé plus de 130 attaques avec un nouveau cheval de Troie d’accès à distance (RAT) multifonctionnel baptisé « ToxicEye ». ToxicEye se propage par le biais de spams contenant un fichier .exe malveillant. Si l’utilisateur ouvre la pièce jointe, ToxicEye s’installe sur le PC de la victime et exécute toute une série d’actions à son insu, notamment du vol de données, la suppression ou le transfert de fichiers, le piratage du micro et de la caméra du PC pour enregistrer le son et la vidéo, le chiffrement de fichiers pour obtenir une rançon.
ToxicEye est géré par les attaquants via Telegram, communiquant avec le serveur C&C de l’attaquant et exfiltrant des données vers celui-ci.
La chaîne d’infection de ToxicEye
L’attaquant crée d’abord un compte et un « bot » Telegram. Un compte bot Telegram est un compte spécial avec lequel les utilisateurs peuvent interagir par chat Telegram, en les ajoutant à des groupes Telegram, ou en envoyant des requêtes directement depuis le champ de saisie en tapant le nom d’utilisateur du bot Telegram et une requête.
Le bot est intégré au fichier de configuration du RAT ToxicEye et compilé dans un fichier exécutable (le nom du fichier que Check Point a trouvé est par exemple « paypal checker by saint.exe »). Toute victime infectée par cette charge utile malveillante peut être attaquée par le bot Telegram, qui connecte l’appareil de l’utilisateur au C&C de l’attaquant via Telegram.
De plus, ce RAT de Telegram peut être téléchargé et exécuté en ouvrant un document malveillant vu dans les spams appelé solution.doc et en appuyant sur « activer le contenu ».
La chaîne d’infection de ToxicEye
Exemple de code extrait des référentiels open source du RAT Telegram
Fonctionnalité du RAT Telegram
Bien entendu, chaque RAT utilisant cette méthode a ses propres fonctionnalités, mais Check Point a pu identifier un certain nombre de capacités clés qui caractérisent la plupart des attaques récentes qui ont été observées :
- Fonctions de vol de données – le RAT peut localiser et voler des mots de passe, des informations sur l’ordinateur, l’historique du navigateur et les cookies.
- Contrôle du système de fichiers – Suppression et transfert de fichiers, ou arrêt des processus du PC et prise en charge du gestionnaire de tâches.
- Détournement d’entrées/sorties – le RAT peut déployer un enregistreur de frappe, enregistrer des données audio et vidéo de l’environnement de la victime via le microphone et la caméra du PC, ou détourner le contenu du presse-papiers.
- Caractéristiques des ransomwares – capacité de chiffrer et de déchiffrer les fichiers de la victime.
Comment savoir si on a été infecté et comment rester protégé ?
-
- Rechercher un fichier appelé C:\Users\ToxicEye\rat.exe – si ce fichier existe sur le PC, l’utilisateur a été infecté et doit immédiatement contacter son service d’assistance et effacer ce fichier de son système.
- Surveiller le trafic généré par les PC de l’entreprise vers un C&C Telegram – si un tel trafic est détecté et que Telegram n’est pas installé comme solution d’entreprise, il se pourrait que les systèmes soient compromis.
- Se méfier des pièces jointes contenant des noms d’utilisateur – les mails malveillants utilisent souvent le nom d’utilisateur dans leur objet ou dans le nom de fichier de la pièce jointe. C’est le signe que ces mails sont suspects : il faut les supprimer, ne jamais ouvrir la pièce jointe et ne jamais répondre à l’expéditeur.
- Destinataire(s) caché(s) ou non répertorié(s) – si le(s) destinataire(s) du mail ne comporte(nt) aucun nom, ou si les noms ne sont pas répertoriés ou cachés – cet mail est malveillant et/ou un spam.
- Toujours faire attention à la langue utilisée dans l’email – Les techniques d’ingénierie sociale sont conçues pour profiter de la nature humaine. Cela inclut le fait que les gens sont plus susceptibles de faire des erreurs lorsqu’ils sont pressés et ont tendance à suivre les ordres des personnes en position d’autorité. Les attaques par phishing utilisent généralement ces techniques pour convaincre leurs cibles d’ignorer les soupçons qu’ils pourraient avoir concernant un mail et les faire cliquer sur un lien ou ouvrir une pièce jointe.
- Déployer une solution anti-phishing automatisée – Pour minimiser le risque d’attaques de phishing pour une entreprise, il faut un logiciel anti-hameçonnage basé sur l’IA, capable d’identifier et de bloquer les contenus de phishing sur l’ensemble des services de communication de l’entreprise (email, applications de productivité, etc.) et des plateformes (postes de travail des employés, dispositifs mobiles, etc). Cette couverture complète est nécessaire car les contenus de phishing peuvent être diffusés sur n’importe quel support, et les employés peuvent être plus vulnérables aux attaques lorsqu’ils utilisent des appareils mobiles. La solution de sécurité de la messagerie de Check Point pourra aider à éviter les attaques de phishing et d’ingénierie sociale les plus sophistiquées, avant qu’elles n’atteignent les utilisateurs.