محققان امنیت سایبری اخیراً حملات مختلفی را کشف کرده‌اند که معمولاً از ویروس دسترسی از راه دور از طریق ارتباطات تلگرام برای سرقت اطلاعات کاربران و انجام فعالیت‌های مخرب در دستگاه‌های آلوده استفاده می‌شود.

محققان در سه ماه گذشته نزدیک به ۱۳۰ حمله را کشف کرده‌اند. و آنها می‌گویند که هکرها از تلگرام برای نصب تروجان جدید چند منظوره برای دسترسی از راه دور ، “ToxicEye” استفاده می‌کنند.

با این حال، تحلیلگران خاطرنشان کرده‌اند که دلیل اصلی فعالیت هکرها آسیب‌پذیری نیست که در داخل پیام‌رسان وجود داشته باشد بلکه پیچ و خم معماری آن باشد. علاوه بر این، کاربر تازه وارد تلگرام، کسانی که هرگز از آن استفاده نکرده‌اند نیز می‌توانند قربانی چنین حملاتی شوند.

چرا هکرها از تلگرام استفاده می‌کنند؟

هکرها به طور مداوم تلگرام را هدف قرار می‌دهند و مهاجمان دلایل زیادی در هدف قرار دادن تلگرام دارند. در اینجا آنها در زیر ذکر شده است:

 در تلگرام، مجرمان می‌توانند خود را پنهان نگه‌دارند، یا می‌توان گفت که می‌توانند ناشناس باشند زیرا روند ثبت نام فقط به شماره تلفن احتیاج دارد.

 رایج‌ترین دلیل این است که تلگرام یک برنامه قانونی است؛ به راحتی می‌توانید از این برنامه استفاده کنید.

یکی از ویژگی‌های منحصر به فرد تلگرام این است که ارتباط منحصر به فردی دارد که از طریق آن مجرمان می‌توانند اطلاعات رایانه‌های شخصی قربانیان را سرقت کنند، یا می‌توانند همه پرونده‌های مخرب را به دستگاه‌های آلوده منتقل کنند.

با کمک تلگرام، مجرمان می‌توانند با استفاده از دستگاه‌های تلفن همراه خود به رایانه آلوده دسترسی پیدا کنند.

بهره‌برداری‌های انجام شده توسط ToxicEye

کارشناسان تمام سوء استفاده‌هایی که توسط ToxicEye بر روی دستگاه آلوده انجام می‌شود را ذکر کرده‌اند:

> سرقت اطلاعات

> حذف یا انتقال فایل‌ها

> رمزگذاری فایل‌ها برای باج‌گیری

> متوقف کردن فرآیندهای در حال اجرا

> دسترسی به میکروفون و دوربین برای ضبط صدا و تصویر

زنجیره آسیب‌پذیری

اولین کاری که توسط مجرمان انجام می‌شود این است که آنها یک حساب کاربری ایجاد می‌کنند و همراه با آن هکرها یک “bot” یا حساب ویژه راه دور تلگرام را نیز باز می‌کنند.

با این حال، با استفاده از این حساب ویژه، کاربران می‌توانند با چت تلگرام یا اضافه کردن آنها به گروه‌های تلگرامی، یا به سادگی ارسال درخواست مستقیم از قسمت ورودی با وارد کردن نام کاربری تلگرام ربات، تعامل داشته باشند.

تحلیلگران همچنین اظهار داشتند که ربات در پرونده پیکربندی ToxicEye RAT تعبیه شده است و بعداً پیوست شده و در یک فایل اجرایی قرار می‌گیرد. هنگامی که مراحل نصب فایل اجرایی به پایان رسید، مجرمان اینترنتی می‌توانند اطلاعات کامپیوتر را از طریق ربات سرقت کنند.

چگونه می توان آسیب‌پذیری را تشخیص داد و محافظت کرد؟

برخی از نکات وجود دارد که می‌تواند آسیب‌پذیری را تشخیص داده یا از آن مطلع شود و همچنین از خود محافظت کند. همیشه ترافیکی که از طریق رایانه‌های شخصی سازمان شما در سرور کنترل و فرمان تلگرام ایجاد می شود، بررسی کنید. از آنجا که تلگرام به عنوان یک راه حل سازمانی نصب نشده است، و نشانه مستقیم حملات است.

پیوست هایی را که حاوی نام کاربری است را تحت نظر داشته باشید و از این پیوست‌ها مطلع باشید زیرا هکرها از نام کاربری کاربران برای ارسال ایمیل‌های مخرب استفاده می‌کنند. همیشه فایلی به نام C: \ Users \ ToxicEye \ rat.exe را جستجو کنید، وجود این فایل به این معنی است که هکرها قبلاً به شما حمله کرده و سیستم شما را آلوده کرده‌اند.

به زبان ایمیل توجه کنید، زیرا مهاجمان فیشینگ از زبان‌های مختلفی برای متقاعد کردن کاربران استفاده می‌کنند. درهرصورت، اگر هیچ نامی در جای گیرنده وجود نداشته باشد، به این معنی است که مهاجمان به شما حمله کرده‌اند.

استفاده از یک راه حل خودکار ضد فیشینگ، زیرا این نوع پوشش جامع کاملاً مورد نیاز است زیرا محتوای فیشینگ می‌تواند در هر محیطی وجود داشته باشد. محققان امنیتی از سازمان‌ها و کاربران تلگرام خواسته‌اند که اطلاعات کوتاهی درباره آخرین حملات فیشینگ داشته و نسبت به ایمیل های دارای نام کاربری یا نام سازمانی که در این موضوع تعبیه شده‌اند، بسیار مشکوک باشند.

  • منبع خبر : سایبر پلیس