Missbrauch von Telegram als Remote Malware Distribution Center

Check Point Research warnt vor neuer Kampagne, die Millionen von Nutzern bedroht. Die Angreifer können über Telegram verseuchte Dateien auf Computern installieren und diese Programme steuern.

Check Point Research (CPR), die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Security-Lösungen, meldet, dass Cyber-Kriminelle den beliebten Nachrichtendienst Telegram als Remote Malware Distribution Center missbrauchen. Die Hacker verstecken die Malware hinter E-Mail-Anhängen, um Computer zu infizieren. Voraus ging der Erkenntnis, dass CPR innerhalb der letzten drei Monate über 130 Cyber-Attacken von einem Remote Access Trojaner (RAT) namens ToxicEye beobachtete, die von den Akteuren über Telegram koordiniert wurden. Telegram zählt weltweit über 500 Millionen aktive Nutzer und gehört zu den zehn am häufigsten heruntergeladenen Apps weltweit.

Der Angriffsweg sieht so aus:

• Erstens: Die Hacker erstellen ein Telegram-Konto und einen speziellen Telegram-Bot. Dies ist ein ferngesteuertes Konto, mit dem die Nutzer über den Telegram-Chat interagieren können, oder über Gruppen, oder über das Input-Feld, wenn sie den Namen des Bots und die Anfrage eingeben.
• Zweitens: Der Anmelde-Token des Bots wird mit einer Malware kombiniert.
• Drittens: Die Malware wird als Anhang über eine Spam-E-Mail verbreitet. Ein gefundenes Beispiel nannte sich paypal checker by saint.exe.
• Viertens: Das Opfer öffnet den schädlichen Anhang, der sich dann mit Telegram verbindet. Von nun an kann jeder, dessen Computer durch die Malware verseucht wurde, von dem Telegram-Bot der Hacker attackiert werden – gleichgültig, ob Telegram überhaupt installiert ist. Die Malware verbindet schlicht das Gerät des Nutzers mit dem Command-and-Control-Server der Angreifer über Telegram.
• Fünftens: Jetzt besitzt der Hacker die Kontrolle über das Gerät und kann verschiedene, schädliche Aktivitäten ausführen.

Die Auswirkungen einer erfolgreichen Attacke sind vielfältig. Beobachtet wurden:

• File System Control (Löschen oder Übertragen von Dateien; Stoppen von Prozessen; Übernahme des Task-Managers).
• Datenlecks (Diebstahl von Bildern, Videos, Kennwörter, System-Informationen, Browser-Chronik und Cookies).
• Ransomware (Verschlüsselung von Daten).
• I/O-hijacking (Installation eines Keyloggers, der die Eingaben mitliest; heimliche Aufnahme von Ton und Bild über Mikrophon und Kamera des Geräts; Knacken des Clipboards).

Die Security-Forscher sind überzeugt, dass Telegram derzeit vermehrt angegriffen wird, weil es einen großen Zuwachs von Nutzern zu verzeichnen hat – auch als Unternehmensanwendung. Dutzende neuer Malware gegen Telgram, die einsatzbereit gekauft werden kann, liegen in Github-Speichern bereit. Einige Umstände kommen den Hackern entgegen:

• Telegram wird von Sicherheitslösungen in Unternehmen nicht blockiert, weil es eine echte, sichere und stabile Anwendung ist, die außerdem einfach zu bedienen ist und dort häufig zum Einsatz kommt.
• Telegram wahrt die Anonymität der Nutzer und damit auch der Angreifer hinter den verseuchten Konten, weil die Registrierung nur eine Telefonnummer fordert.
• Die technische Art und Weise, wie über Telegram kommuniziert wird, ermöglicht den Angreifern einfachen Diebstahl von Daten von einem Computer oder die Übertragung infizierter Daten an das Gerät.
• Die Angreifer können ihre Mobiltelefone nutzen, um infizierte Computer überall auf der Welt über Telegram anzuwählen.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies fasst die Nachforschung zusammen: „Wir haben entdeckt, dass Malware-Autoren die Telegram-Plattform als einsatzbereites Command-and-Control-System für die Malware-Verteilung in Unternehmen nutzen. So kann die verwendete Malware ihre Befehle für Operationen von den Angreifern aus der Ferne über Telegram empfangen – sogar dann, wenn Telegram auf dem Computer nicht installiert ist oder verwendet wird. Die Malware, welche die Hacker verwenden, ist an leicht zugänglichen Orten wie der Open-Source-Plattform Github zu finden. Wir sind überzeugt, die Angreifer nutzen die Tatsache aus, dass Telegram in fast allen Organisationen verwendet wird und daher Sicherheitseinschränkungen umgeht. Aus diesem Grund Raten wir allen Nutzern dringend, sich der Existenz bösartiger E-Mails bewusst zu sein und bei solchen, die ihren Benutzernamen in den Betreff einbetten, oder mit gebrochener Sprache geschrieben wurden, misstrauisch zu sein. Da wir nun wissen, dass Telegram zum Verteilen von verseuchten Dateien oder als Befehls- und Kontroll-Zentrum für ferngesteuerte Malware herhalten kann, erwarten wir weitere Schädlinge, die speziell dafür entwickelt werden.“

Hilfreiche Tipps gegen den Angriff lauten:

• Suchen Sie nach einer Datei namens: C:\Users\ToxicEye\rat.exe. Ist diese vorhanden, wurde der Rechner infiziert und es sollte sofort die IT-Abteilung informiert werden, um die Datei zu löschen.
• Der Netzwerkverkehr muss dahingehend überwacht werden, ob Übertragungen von Computern im Unternehmen zu einem Telegram-Command-and-Control-Server stattfinden. Findet dies statt und Telegram wird nicht als Anwendung im Unternehmen offiziell eingesetzt, ist dies ein deutlicher Hinweis.
• Achten Sie auf E-Mail-Anhänge, die Benutzernamen beinhalten oder Nachrichten, welche diese im Betreff führen.
• Vorsicht, wenn Empfänger- oder Absendernamen einer E-Mail fehlen oder nicht erkennbar sind.
• Passen Sie auf, ob die E-Mail in gebrochener Sprache geschrieben wurde, also viele Schreibfehler enthält.
• Unternehmen können sowieso eine automatisierte Sicherheitslösung gegen Phishing einsetzen, welche den Mitarbeiter bei der Abwehr unter die Arme greift und auf künstlicher Intelligenz fußt. Diese kann innerhalb der gesamten Unternehmenskommunikation Wache stehen.