Hacker verbreiten Malware für Telegram

[English]Sicherheitsexperten von Check Point Research warnen vor neuer Kampagne, die Millionen von Nutzern bedroht. Die Angreifer können über Telegram verseuchte Dateien auf Computern installieren und diese Programme dann remote steuern. Hier einige Informationen, die ich von Check Point direkt erhalten habe.

Check Point Research (CPR) ist Cyber-Kriminellen auf die Schliche gekommen, die den Nachrichtendienst Telegram als Remote Malware Distribution Center missbrauchen. Die Hacker verstecken die Malware hinter E-Mail-Anhängen, um Computer zu infizieren. Voraus ging der Erkenntnis, dass CPR innerhalb der letzten drei Monate über 130 Cyber-Attacken von einem Remote Access Trojaner (RAT) namens ToxicEye beobachtete, die von den Akteuren über Telegram koordiniert wurden. Telegram zählt weltweit über 500 Millionen aktive Nutzer und gehört zu den zehn am häufigsten heruntergeladenen Apps weltweit.

Ausgebuffter Angriffsweg

Der Angriffsweg sieht so aus, dass die Hacker ein Telegram-Konto erstellen und einen speziellen Telegram-Bot aufsetzen. Dies ist ein ferngesteuertes Konto, mit dem die Nutzer über den Telegram-Chat interagieren können, oder über Gruppen, oder über das Input-Feld, wenn sie den Namen des Bots und die Anfrage eingeben.

Telegram-Hack, Quelle: Check Point

In einem zweiten Schritt wird der Anmelde-Token des Bots mit einer Malware kombiniert. In einem dritten Schritt verbreiten die Cyber-Kriminellen die Malware wird als Anhang über eine Spam-E-Mail. Ein gefundenes Beispiel nannte sich paypal checker by saint.exe.

Öffnet das Opfer den schädlichen Anhang, verbindet sich der sich dann mit Telegram. Von nun an kann jeder, dessen Computer durch die Malware verseucht wurde, von dem Telegram-Bot der Hacker attackiert werden – gleichgültig, ob Telegram überhaupt installiert ist. Die Malware verbindet schlicht das Gerät des Nutzers mit dem Command-and-Control-Server der Angreifer über Telegram.

Besitzt der Hacker die Kontrolle über das Gerät, kann er verschiedene, schädliche Aktivitäten ausführen. Die Auswirkungen einer erfolgreichen Attacke sind vielfältig. Beobachtet wurden:

• File System Control (Löschen oder Übertragen von Dateien; Stoppen von Prozessen; Übernahme des Task-Managers).
• Datenlecks (Diebstahl von Bildern, Videos, Kennwörter, System-Informationen, Browser-Chronik und Cookies).
• Ransomware (Verschlüsselung von Daten).
• I/O-hijacking (Installation eines Keyloggers, der die Eingaben mitliest; heimliche Aufnahme von Ton und Bild über Mikrophon und Kamera des Geräts; Knacken des Clipboards).

Die Sicherheitsforscher sind überzeugt, dass Telegram derzeit vermehrt angegriffen wird, weil es einen großen Zuwachs von Nutzern zu verzeichnen hat – auch als Unternehmensanwendung. Dutzende neuer Malware gegen Telegram, die einsatzbereit gekauft werden kann, liegen in Github-Speichern bereit. Einige Umstände kommen den Hackern entgegen:

• Telegram wird von Sicherheitslösungen in Unternehmen nicht blockiert, weil es eine echte, sichere und stabile Anwendung ist, die außerdem einfach zu bedienen ist und dort häufig zum Einsatz kommt.
• Telegram wahrt die Anonymität der Nutzer und damit auch der Angreifer hinter den verseuchten Konten, weil die Registrierung nur eine Telefonnummer fordert.
• Die technische Art und Weise, wie über Telegram kommuniziert wird, ermöglicht den Angreifern einfachen Diebstahl von Daten von einem Computer oder die Übertragung infizierter Daten an das Gerät.
• Die Angreifer können ihre Mobiltelefone nutzen, um infizierte Computer überall auf der Welt über Telegram anzuwählen.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH, fasst die Nachforschung zusammen: „Wir haben entdeckt, dass Malware-Autoren die Telegram-Plattform als einsatzbereites Command-and-Control-System für die Malware-Verteilung in Unternehmen nutzen. So kann die verwendete Malware ihre Befehle für Operationen von den Angreifern aus der Ferne über Telegram empfangen – sogar dann, wenn Telegram auf dem Computer nicht installiert ist oder verwendet wird. Die Malware, welche die Hacker verwenden, ist an leicht zugänglichen Orten wie der Open-Source-Plattform Github zu finden. Wir sind überzeugt, die Angreifer nutzen die Tatsache aus, dass Telegram in fast allen Organisationen verwendet wird und daher Sicherheitseinschränkungen umgeht. Aus diesem Grund Raten wir allen Nutzern dringend, sich der Existenz bösartiger E-Mails bewusst zu sein und bei solchen, die ihren Benutzernamen in den Betreff einbetten, oder mit gebrochener Sprache geschrieben wurden, misstrauisch zu sein. Da wir nun wissen, dass Telegram zum Verteilen von verseuchten Dateien oder als Befehls- und Kontroll-Zentrum für ferngesteuerte Malware herhalten kann, erwarten wir weitere Schädlinge, die speziell dafür entwickelt werden."

Hilfreiche Tipps gegen den Angriff lauten:

• Suchen Sie nach einer Datei namens: C:\Users\ToxicEye\rat.exe. Ist diese vorhanden, wurde der Rechner infiziert und es sollte sofort die IT-Abteilung informiert werden, um die Datei zu löschen.
• Der Netzwerkverkehr muss dahingehend überwacht werden, ob Übertragungen von Computern im Unternehmen zu einem Telegram-Command-and-Control-Server stattfinden. Findet dies statt und Telegram wird nicht als Anwendung im Unternehmen offiziell eingesetzt, ist dies ein deutlicher Hinweis.
• Achten Sie auf E-Mail-Anhänge, die Benutzernamen beinhalten oder Nachrichten, welche diese im Betreff führen.
• Vorsicht, wenn Empfänger- oder Absendernamen einer E-Mail fehlen oder nicht erkennbar sind.
• Passen Sie auf, ob die E-Mail in gebrochener Sprache geschrieben wurde, also viele Schreibfehler enthält.
• Unternehmen können sowieso eine automatisierte Sicherheitslösung gegen Phishing einsetzen, welche den Mitarbeiter bei der Abwehr unter die Arme greift und auf künstlicher Intelligenz fußt. Diese kann innerhalb der gesamten Unternehmenskommunikation Wache stehen.

Weitere Informationen erhalten Sie in diesem Artikel.