Le malware RAT utilise Telegram pour éviter la détection

La société de logiciels Check Point a récemment découvert que de mauvais acteurs utilisent Telegram comme canal de communication pour ToxicEye,  un programme malveillant. 

ToxicEye : présentation et mode de fonctionnement

ToxicEye est un malware de type cheval de Troie d’accès à distance (RAT). Les RAT peuvent donner à un attaquant le contrôle à distance d’une machine infectée. Cela permet au hacker de voler des données de l’ordinateur hôte, de supprimer ou de transférer des fichiers, d’arrêter les processus en cours d’exécution sur l’ordinateur infecté. Ce type d’attaque permet aussi de détourner le microphone et la caméra de l’ordinateur pour enregistrer du son et de la vidéo à l’insu de l’utilisateur. 

Le pirate peut aussi crypter les fichiers pour extorquer une rançon aux utilisateurs. Le ToxicEye RAT se propage via un système de phishing où une cible reçoit un e-mail avec un fichier EXE intégré. Si l’utilisateur ciblé ouvre le fichier, le programme installe le logiciel malveillant sur son appareil.

Comment les attaquants utilisent Telegram pour contrôler les logiciels malveillants ?

Cette technique remonte à 2017. Cela fait effectivement quelques années que des acteurs malveillants utilisent Telegram pour diffuser et contrôler des malwares. Les chercheurs de Check Point déclarent avoir trouvé 130 attaques ToxicEye utilisant cette méthode entre février et avril 2021. L’application de chat se révèle être très pratique pour les hackers pour plusieurs raisons. 

En effet, Telegram n’est pas bloqué par un logiciel de pare-feu. Il n’est pas non plus bloqué par les outils de gestion de réseau. C’est une application facile à utiliser que de nombreuses personnes reconnaissent comme légitime. Les utilisateurs sont donc moins vigilants. Par ailleurs, l’inscription à Telegram est effective avec seulement un numéro de téléphone portable, de sorte que les attaquants peuvent rester anonymes. Cela leur permet également d’attaquer des appareils à partir de leur appareil mobile. Ils peuvent donc lancer une cyberattaque de n’importe où. 

Chaîne d’infection ToxicEye

L’attaquant crée d’abord un compte Telegram, puis un  bot Telegram qui peut effectuer des actions à distance via l’application. Ce jeton de bot est inséré dans un code source malveillant. Le code malveillant est ensuite envoyé sous forme de courrier indésirable, souvent déguisé mail légitime sur lequel l’utilisateur peut cliquer. Si la pièce jointe est ouverte, elle s’installe sur l’ordinateur hôte et renvoie les informations au centre de commande de l’attaquant via le bot Telegram.

Étant donné que ce RAT est envoyé par courrier indésirable, vous n’avez même pas besoin d’être un utilisateur de Telegram pour être infecté. Pour savoir si vous êtes infectés, Check Point conseille aux utilisateurs de rechercher le fichier suivant sur votre PC : C: \ Users \ ToxicEye \ rat.exe. Si vous le trouvez, effacez-le et lancez immédiatement une analyse antivirus ou contactez votre service d’assistance. Jusqu’à la fin du mois d’avril 2021, ces attaques n’ont été découvertes que sur des PC Windows. Pour éviter les attaques, n’ouvrez jamais les pièces jointes qui vous semblent suspectes.